Chrome浏览器扩展开发系列之十五：跨域访问的XMLHttpRequest对象

XMLHttpRequest对象是W3C的标准API，用于访问服务器资源。XMLHttpRequest对象支持多种文本格式，如XML和JSON等。XMLHttpRequest对象能够经过HTTP和HTTPS发送请求。

一般出于安全的考虑，Web页面的XMLHttpRequest对象不能访问其余域的服务器。可是Chrome浏览器扩展没有这个限制，只要设置了跨域访问的权限，Chrome浏览器扩展的XMLHttpRequest对象能够访问声明的任何域的服务器。

每一个Chrome浏览器扩展都运行于本身的独立安全域，Chrome浏览器扩展的XMLHttpRequest对象可以轻松访问其所在扩展的内部资源，示例以下：

1 var xhr = new XMLHttpRequest();
2 xhr.onreadystatechange = handleStateChange; // Implemented elsewhere.
3 xhr.open("GET", chrome.extension.getURL('/config_resources/config.json'), true);
4 //访问内部位于config_resources目录下的config.json文件
5 xhr.send();

若是Chrome浏览器扩展的XMLHttpRequest对象要访问跨域资源，须要在manifest.json文件中声明要访问的域以下：

1 {
2   "permissions": [
3 "http://www.google.com/",
4 "http://*.google.com/",
5 "https://*.google.com/",
6 "http://*/"
7   ],
8 }

注意：这里只设置域，对于域后的任何路径都将忽略。

             同一域名，还要区分HTTP和HTTPS。

             跨域访问的响应处理中，要注意响应数据的安全性，避免注入木马。

 

若是修改了Chrome浏览器扩展的默认内容安全策略，则还须要确保要访问的域被受权，如能够将要访问的域加入到connect-src或default-src中。关于Chrome浏览器扩展的内容安全策略，详见内容安全策略部分。