Chrome 浏览器插件 Manifest.json V3 中权限(Permissions)字段解析

2024-01-16 14:44

本文主要是介绍Chrome 浏览器插件 Manifest.json V3 中权限(Permissions)字段解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、权限(Permissions

再使用拓展程序的 API 时,大多数的时候,需要在 manifest.json 文件中声明 permissions 字段。

一、权限类型

V3 版本中可以声明以下类别的权限:

  • permissions
    • 包含下面 permissions 权限列表中的项;
  • optional_permissions
    • 由用户在运行时(而不是在安装时)授予;
  • content_scripts.matches
    • 包含一个或多个匹配模式,可允许内容脚本注入到一个或多个主机中;
  • host_permissions
    • 包含一个或多个匹配模式,可提供对一个或多个主机的访问权限;
  • optional_host_permissions
    • 由用户在运行时(而不是在安装时)授予。

如果您的扩展程序遭到恶意软件入侵,设置权限有助于限制对您的扩展程序造成的破坏。在安装之前或运行时,系统会向用户显示一些权限警告,以征求用户同意

二、Manifest.json 示例

{"name": "Permissions Extension","permissions": ["activeTab","contextMenus","storage"],"optional_permissions": ["topSites",],"host_permissions": ["https://www.developer.chrome.com/*"],"optional_host_permissions":["https://*/*","http://*/*"],"manifest_version": 3
}

三、主机权限(Host permissions

主机权限允许扩展程序与网址的匹配格式进行交互。有些 Chrome API 不仅需要拥有自己的 API 权限,还需要主机权限。

需要主机权限的 API

  • 从扩展程序 Service Worker 和扩展程序页面发出 fetch() 请求。
  • 使用 chrome.tabs API 读取和查询敏感的标签页属性(网址、标题和 favIconUrl)。
  • 以编程方式注入内容脚本。
  • 使用 chrome.webRequest API 监控和控制网络请求。
  • 使用 chrome.cookies API 访问 Cookie
  • 使用 chrome.declarativeNetRequest API 重定向和修改请求及响应标头。

四、包含警告的权限

如果扩展程序请求多项权限,并且其中的许多权限会在安装时显示警告,用户会看到警告列表
示例:
警告权限示例
如果扩展程序只显示少量警告或向用户说明权限,用户更有可能信任该扩展程序。请考虑实现可选权限或功能略弱的 API,以避免收到警告。
host_permissionscontent_scripts.matches 字段中添加或更改匹配模式也会触发警告。

1. 权限警告列表

权限说明警告
http://*/*
https://*/*
*://*/*
<all_urls>
对所有主机的访问权限读取和更改在所有网站上的所有数据
https://HostName.com/https://HostName.com/ 的访问权限读取和更改在 HostName.com 上的数据
accessibilityFeatures.modify允许此扩展程序修改个别无障碍功能的状态更改无障碍设置
accessibilityFeatures.read允许此扩展程序读取各个无障碍功能状态查看无障碍设置
bookmarkschrome.bookmarks API 的访问权限读取和更改书签
clipboardRead如果扩展程序使用 document.execCommand('paste'),则必须提供读取复制和粘贴的数据
clipboardWrite表示该扩展程序使用 document.execCommand('copy')document.execCommand('cut')修改复制和粘贴的数据
contentSettingschrome.contentSettings API 的访问权限更改用于控制网站对 CookieJavaScript、插件、地理定位、麦克风、摄像头等功能的使用权限的设置。
debuggerchrome.debugger API 的访问权限访问页面调试程序后端

读取和更改在所有网站上的所有数据
declarativeNetRequestchrome.declarativeNetRequest API 的访问权限屏蔽任何网页上的内容
declarativeNetRequestFeedback函数和事件的访问权限,这些函数和事件会返回匹配的声明式规则的相关信息读取浏览记录
desktopCapturechrome.desktopCapture API 的访问权限截取屏幕上的内容
downloadschrome.downloads API 的访问权限管理下载内容
faviconFavicon API 的访问权限读取访问的网站的图标
geolocation允许扩展程序在不提示用户授予权限的情况下使用 HTML5 geolocation API检测实际位置
historychrome.history API 的访问权限读取和更改所有已登录设备上的浏览记录
identity.email通过 chrome.identity API 对电子邮件地址的访问权限获取电子邮件地址
managementchrome.management API 的访问权限管理应用、扩展程序和主题背景
nativeMessagingNative Messaging API 的访问权限与协作的原生应用通信
notificationschrome.notifications API 的访问权限显示通知
pageCapturechrome.pageCapture API 的访问权限读取和更改在所有网站上的所有数据
privacychrome.privacy API 的访问权限更改与隐私相关的设置
proxychrome.proxy API 的访问权限读取和更改在所有网站上的所有数据
readingListchrome.readingList API 的访问权限读取和更改阅读清单中的条目
sessionshistorychrome.sessionsAPIchrome.history API 的访问权限读取和更改所有已登录设备上的浏览记录
sessionstabschrome.sessions API 以及 Tab 对象的特权字段的访问权限读取在所有已登录账号设备上的浏览记录
system.storagechrome.system.storage API 的访问权限识别和弹出存储设备
tabCapturechrome.tabCapture API 的访问权限读取和更改在所有网站上的所有数据
tabGroupschrome.tabGroups API 的访问权限查看和管理标签页分组
tabs对多个 API(包括 chrome.tabschrome.windows)使用的 Tab 对象的特权字段的访问权限读取浏览记录
topSiteschrome.topSites API 的访问权限读取最常访问的网站列表
ttsEnginechrome.ttsEngine API 的访问权限朗读使用合成语音说出的所有文字
webAuthenticationProxychrome.webAuthenticationProxy API 的访问权限读取和更改在所有网站上的所有数据
webNavigationchrome.webNavigation API 的访问权限读取浏览记录

五、权限列表

1. accessibilityFeatures.modify

允许扩展程序在使用 chrome.accessibilityFeatures API 时修改无障碍功能状态。

2. accessibilityFeatures.read

允许扩展程序在使用 chrome.accessibilityFeatures API 时读取无障碍功能状态。

3. activeTab

通过用户手势对活动标签页的临时访问权限。

4. alarms

chrome.alarms API 的访问权限。

5. audio

chrome.audio API 的访问权限。

6. background

Chrome 尽早启动(用户登录计算机、启动 Chrome 之前)和延迟关闭(即使最后一个窗口已关闭,直到用户明确退出 Chrome)。

7. bookmarks

chrome.bookmarks API 的访问权限。

8. browsingData

chrome.browsingData API 的访问权限。

9. certificateProvider

chrome.certificateProvider API 的访问权限。

10. contentSettings

chrome.contentSettings API 的访问权限。

11. contextMenus

chrome.contextMenus API 的访问权限。

12. cookies

chrome.cookies API 的访问权限。

13. debugger

chrome.debugger API 的访问权限。

14. declarativeContent

chrome.declarativeContent API 的访问权限。

15. declarativeNetRequest

chrome.declarativeNetRequest API 的访问权限。

16. declarativeNetRequestWithHostAccess

在需要主机权限时对 chrome.declarativeNetRequest API 的访问权限。

17. declarativeNetRequestFeedback

使用 chrome.declarativeNetRequest API 时向开发者工具控制台写入错误和警告的权限。

18. dns

chrome.dns API 的访问权限。

19. desktopCapture

chrome.desktopCapture API 的访问权限。

20. documentScan

chrome.documentScan API 的访问权限。

21. downloads

chrome.downloads API 的访问权限。

22. downloads.open

允许使用 chrome.downloads.open()

23. downloads.ui

允许使用 chrome.downloads.setUiOptions()

24. enterprise.deviceAttributes

chrome.enterprise.deviceAttributes API 的访问权限。

25. enterprise.hardwarePlatform

chrome.enterprise.hardwarePlatform API 的访问权限。

26. enterprise.networkingAttributes

chrome.enterprise.networkingAttributes API 的访问权限。

27. enterprise.platformKeys

chrome.enterprise.platformKeys API 的访问权限。

28. favicon

Favicon API 的访问权限。

29. fileBrowserHandler

chrome.fileBrowserHandler API 的访问权限。

30. fileSystemProvider

chrome.fileSystemProvider API 的访问权限。

31. fontSettings

chrome.fontSettings API 的访问权限。

32. gcm

chrome.gcmchrome.instanceID API 的访问权限。

33. geolocation

允许扩展程序在不提示用户授予权限的情况下使用 geolocation API

34. history

chrome.history API 的访问权限。

35. identity

chrome.identity API 的访问权限。

36. idle

chrome.idle API 的访问权限。

37. loginState

chrome.loginState API 的访问权限。

38. management

chrome.management API 的访问权限。

39. nativeMessaging

Native Messaging API 的访问权限。

40. notifications

chrome.notifications API 的访问权限。

41. offscreen

chrome.offscreen API 的访问权限。

42. pageCapture

chrome.pageCapture API 的访问权限。

43. platformKeys

chrome.platformKeys API 的访问权限。

44. power

chrome.power API 的访问权限。

45. printerProvider

chrome.printerProvider API 的访问权限。

46. printing

chrome.printing API 的访问权限。

47. printingMetrics

chrome.printingMetrics API 的访问权限。

48. privacy

chrome.privacy API 的访问权限。

49. processes

chrome.processes API 的访问权限。

50. proxy

chrome.proxy API 的访问权限。

51. runtime

runtime.connectNative()runtime.sendNativeMessage() 的访问权限。对于 runtime 命名空间的所有其他功能,无需任何权限。

52. scripting

chrome.scripting API 的访问权限。

53. search

chrome.search API 的访问权限。

54. sessions

chrome.sessions API 的访问权限。

55. sidePanel

chrome.sidePanel API 的访问权限。

56. storage

chrome.storage API 的访问权限。

57. system.cpu

chrome.system.cpu API 的访问权限。

58. system.display

chrome.system.display API 的访问权限。

59. system.memory

chrome.system.memory API 的访问权限。

60. system.storage

chrome.system.storage API 的访问权限。

61. tabCapture

chrome.tabCapture API 的访问权限。

62. tabGroups

chrome.tabGroups API 的访问权限。

63. tabs

对多个 API(包括 chrome.tabschrome.windows)使用的 Tab 对象的特权字段的访问权限。

64. topSites

chrome.topSites API 的访问权限。

65. tts

chrome.tts API 的访问权限。

66. ttsEngine

chrome.ttsEngine API 的访问权限。

67. unlimitedStorage

针对 chrome.storage.localIndexedDB 提供无限制的配额,
chrome.storage.localIndexedDBCache StorageOrigin Private File System 提供无限制的配额。

68. vpnProvider

chrome.vpnProvider API 的访问权限。

69. wallpaper

chrome.wallpaper API 的访问权限。

70. webAuthenticationProxy

chrome.webAuthenticationProxy API 的访问权限。

71. webNavigation

chrome.webNavigation API 的访问权限。

72. webRequest

chrome.webRequest API 的访问权限。

73. webRequestBlocking

允许使用 chrome.webRequest API 进行屏蔽。

六、可选权限

1. 确定必需权限和可选权限

  • 扩展程序可以声明必需权限和可选权限。
    • 如果扩展程序的基本功能需要用到所需权限,请使用这些权限。
    • 如果扩展程序中的可选功能需要用到可选权限,请使用这些权限。
  • 必需权限的优点:
    • 提示更少:扩展程序可以提示用户接受所有权限一次。
    • 开发更简单:必要权限必定存在。
  • 可选权限的优点:
    • 安全性更高:由于用户仅启用所需的权限,因此扩展程序能够以更少的权限运行。
    • 为用户提供更实用的信息:在用户启用相关功能时,扩展程序可以解释为什么它需要特定权限。
    • 升级更轻松:升级扩展程序时,如果升级过程增加了可选权限而非必需权限,Chrome 不会为用户停用该扩展程序。

2. 在 Manifest.json 中声明可选权限

使用 optional_permissions 键在扩展程序清单中声明可选权限,格式与 permissions 字段相同:

{"name": "My extension","optional_permissions": ["tabs"],"optional_host_permissions": ["https://www.google.com/"],
}
2.1 无法指定为可选的权限

大多数 Chrome 扩展程序权限均可指定为可选权限,但以下权限除外。

  • debugger
  • declarativeNetRequest"devtools
  • experimental
  • geolocation
  • mdns
  • proxy
  • tts
  • ttsEngine
  • wallpaper

3. 请求可选权限

示例:
使用 permissions.request()click 中请求权限:

document.querySelector('#my-button').addEventListener('click', (event) => {// Permissions must be requested from inside a user gesture, like a button's// 权限必须从用户手势内部请求,比如按钮// click handler.chrome.permissions.request({permissions: ['tabs'],origins: ['https://www.google.com/']}, (granted) => {// The callback argument will be true if the user granted the permissions.// 如果用户授予权限,则callback参数将为true。if (granted) {doSomething();} else {doSomethingElse();}});
});

4. 检查扩展程序的当前权限

如需检查扩展程序是否具有特定权限或一组权限,请使用 permission.contains()

chrome.permissions.contains({permissions: ['tabs'],origins: ['https://www.google.com/']
}, (result) => {if (result) {// The extension has the permissions.// 扩展具有相应的权限。} else {// The extension doesn't have the permissions.}
});

5. 移除权限

如果不再需要某些权限,应将其移除。移除权限后,调用 permissions.request() 通常会在不提示用户的情况下重新添加该权限。

chrome.permissions.remove({permissions: ['tabs'],origins: ['https://www.google.com/']
}, (removed) => {if (removed) {// The permissions have been removed.// 权限已被移除。} else {// The permissions have not been removed (e.g., you tried to remove// required permissions).}
});

七、类型(Types

1. Permissions 属性

1.1 origins
  • string[] 选填
  • 主机权限的列表,包括清单中的 optional_permissionspermissions 键中指定的权限,以及与内容脚本相关联的权限。
1.2 permissions
  • string[] 选填
  • 已命名权限(不包括主机或源)的列表。

八、方法(Methods

1. contains()

检查扩展程序是否具有指定权限。

1.1 示例
chrome.permissions.contains(permissions:Permissions,callback?:function,
)
1.2 参数
  • permissions: Permissions
  • callback: function 可选 (result: boolean) => void
1.3 返回
  • Promise<boolean>
    如果扩展程序具有指定的权限,则为 true。如果将某个来源同时指定为可选权限和内容脚本匹配模式,则返回 false,除非同时授予这两项权限。

2. getAll()

获取扩展程序的当前权限集。

2.1 示例
chrome.permissions.getAll(callback?:function,
)
2.2 参数
  • callback: function 可选 (permissions: Permissions)=>void
2.3 返回
  • Promise<Permissions>
    扩展程序的有效权限。

3. remove()

移除对指定权限的访问权限。

3.1 示例
chrome.permissions.remove(permissions:Permissions,callback?:function,
)
3.2 参数
  • permissions: Permissions
  • callback: function 可选 (removed: boolean)=>void
3.3 返回
  • Promise<boolean>
    如果权限已移除,则为 true

4. request()

请求访问指定权限,必要时向用户显示提示。这些权限必须在清单的 optional_permissions 字段中定义,或者是用户保留的必需权限。

4.1 示例
chrome.permissions.request(permissions:Permissions,callback?:function,
)
4.2 参数
  • permissions: Permissions
  • callback: function 可选 (granted: boolean)=>void
4.3 返回
  • Promise<boolean>
    如果用户授予了指定的权限,则为 true

九、事件(Events

1. onAdded

在扩展程序获取新权限时触发。

1.1 示例
chrome.permissions.onAdded.addListener(callback:function,
)
1.2 参数
  • callback: function
(permissions:  Permissions)=>void

2. onRemoved

在移除扩展程序的权限时触发。

2.1 参数
  • callback: function
(permissions:  Permissions)=>void

引用

  • 【permissions】
  • 【declare-permissions】

这篇关于Chrome 浏览器插件 Manifest.json V3 中权限(Permissions)字段解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/612930

相关文章

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

Java并发编程必备之Synchronized关键字深入解析

《Java并发编程必备之Synchronized关键字深入解析》本文我们深入探索了Java中的Synchronized关键字,包括其互斥性和可重入性的特性,文章详细介绍了Synchronized的三种... 目录一、前言二、Synchronized关键字2.1 Synchronized的特性1. 互斥2.

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI

Python 中的异步与同步深度解析(实践记录)

《Python中的异步与同步深度解析(实践记录)》在Python编程世界里,异步和同步的概念是理解程序执行流程和性能优化的关键,这篇文章将带你深入了解它们的差异,以及阻塞和非阻塞的特性,同时通过实际... 目录python中的异步与同步:深度解析与实践异步与同步的定义异步同步阻塞与非阻塞的概念阻塞非阻塞同步

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

python dict转换成json格式的实现

《pythondict转换成json格式的实现》本文主要介绍了pythondict转换成json格式的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下... 一开始你变成字典格式data = [ { 'a' : 1, 'b' : 2, 'c编程' : 3,