อาร์เรย์ของสตริงที่ระบุเส้นทางของทรัพยากรที่เป็นแพ็กเกจ ซึ่งคาดว่าจะใช้งานได้ใน
บริบทของหน้าเว็บ เส้นทางเหล่านี้สัมพันธ์กับรูทของแพ็กเกจและอาจมีไวลด์การ์ด สำหรับ
ตัวอย่างเช่น ส่วนขยายที่แทรกสคริปต์เนื้อหาโดยมีจุดประสงค์เพื่อสร้าง
สำหรับ example.com จะอนุญาตทรัพยากรใดๆ ที่อินเทอร์เฟซต้องการ (รูปภาพ ไอคอน
stylesheets, สคริปต์ เป็นต้น) ดังต่อไปนี้:
{
...
"web_accessible_resources": [
"images/*.png",
"style/double-rainbow.css",
"script/double-rainbow.js",
"script/main.js",
"templates/*"
],
...
}
ทรัพยากรเหล่านี้จะมีอยู่ในหน้าเว็บผ่านทาง URL
chrome-extension://[PACKAGE ID]/[PATH] ซึ่งสร้างขึ้นได้ด้วย extension.getURL
ทรัพยากรในรายการที่อนุญาตจะมีส่วนหัว CORS ที่เหมาะสม จึงจะใช้ได้
ผ่านกลไกอย่าง XHR
การนำทางจากต้นทางเว็บไปยังทรัพยากรของส่วนขยายจะถูกบล็อก เว้นแต่ทรัพยากรนั้นจะ ที่ระบุว่าสามารถเข้าถึงเว็บได้ คำนึงถึงกรณีมุมต่างๆ ต่อไปนี้
- เมื่อส่วนขยายใช้ webRequest หรือ declarativeWebRequest API เพื่อเปลี่ยนเส้นทางสาธารณะ คำขอทรัพยากรไปยังทรัพยากรที่ไม่สามารถเข้าถึงเว็บได้ คำขอดังกล่าวจึงถูกบล็อกด้วย
- เงื่อนไขข้างต้นจะยังคงเป็นจริง แม้ว่าการเปลี่ยนเส้นทางจะเป็นเจ้าของทรัพยากรที่ไม่สามารถเข้าถึงผ่านเว็บได้ ส่วนขยาย
สคริปต์เนื้อหาไม่จำเป็นต้องอยู่ในรายการที่อนุญาต
ก่อนไฟล์ Manifest เวอร์ชัน 2 สามารถเข้าถึงทรัพยากรทั้งหมดภายในส่วนขยายจากหน้าใดก็ได้ใน ข้อมูลเว็บ การดำเนินการนี้ช่วยให้เว็บไซต์ที่เป็นอันตรายพิมพ์ลายนิ้วมือส่วนขยายที่ผู้ใช้ติดตั้งไว้ได้ หรือแสวงหาประโยชน์จากช่องโหว่ (เช่น ข้อบกพร่อง XSS) ภายในส่วนขยายที่ติดตั้ง จำกัด ความพร้อมใช้งานเฉพาะในทรัพยากรที่มีเจตนาชัดเจนว่าให้เข้าถึงเว็บได้เท่านั้น จะแสดงต่อทั้ง ลดพื้นที่ในการโจมตีที่อาจเกิดขึ้นและปกป้องความเป็นส่วนตัวของผู้ใช้
ความพร้อมใช้งานเริ่มต้น
ทรัพยากรภายในแพ็กเกจที่ใช้ manifest_version 2 ขึ้นไปจะถูกบล็อกโดยค่าเริ่มต้น
และต้องอยู่ในรายการที่อนุญาตสำหรับการใช้งานผ่านพร็อพเพอร์ตี้นี้
ทรัพยากรภายในแพ็กเกจที่ใช้ manifest_version 1 จะพร้อมใช้งานโดยค่าเริ่มต้น แต่หากมี
ตั้งค่าพร็อพเพอร์ตี้นี้ จึงจะถือเป็นรายการทรัพยากรทั้งหมดในรายการที่อนุญาต
ทรัพยากรที่ไม่ได้ระบุไว้จะถูกบล็อก