Chrome浏览器扩展开发系列之十五：跨域访问的XMLHttpRequest对象

通常出于安全的考虑，Web页面的

每个Chrome浏览器扩展都运行于自己的独立安全域，Chrome浏览器扩展的

1 var xhr = new 2 xhr.onreadystatechange = handleStateChange; // Implemented elsewhere.3 xhr.open("GET", chrome.extension.getURL('/config_resources/config.json'), true);4 //访问内部位于config_resources目录下的config.json文件5 xhr.send();

如果Chrome浏览器扩展的

1 {2  "permissions": [3 "http://www.google.com/",4 "http://*.google.com/",5 "https://*.google.com/",6 "http://*/"7  ],8 }

注意：这里只设置域，对于域后的任何路径都将忽略。

             同一域名，还要区分HTTP和HTTPS。

             跨域访问的响应处理中，要注意响应数据的安全性，避免注入木马。

如果修改了Chrome浏览器扩展的默认内容安全策略，则还需要确保要访问的域被授权，如可以将要访问的域加入到connect-src或default-src中。关于Chrome浏览器扩展的内容安全策略，详见内容安全策略部分。

原标题：Chrome浏览器扩展开发系列之十五：跨域访问的XMLHttpRequest对象

关键词：xml