ไฟล์ Manifest เวอร์ชัน 1 เลิกใช้งานแล้วใน Chrome 18 และเราจะยกเลิกการรองรับตามกำหนดการรองรับไฟล์ Manifest เวอร์ชัน 1 การเปลี่ยนแปลงจากเวอร์ชัน 1 เป็นเวอร์ชัน 2 จะจัดอยู่ในหมวดหมู่กว้างๆ 2 หมวดหมู่ ได้แก่ การเปลี่ยนแปลง API และการเปลี่ยนแปลงด้านความปลอดภัย
เอกสารนี้มีรายการตรวจสอบสำหรับการย้ายข้อมูลส่วนขยาย Chrome จากไฟล์ Manifest เวอร์ชัน 1 ไปยังเวอร์ชัน 2 ตามด้วยข้อมูลสรุปโดยละเอียดเพิ่มเติมเกี่ยวกับความหมายของการเปลี่ยนแปลงและสาเหตุของการเปลี่ยนแปลง
รายการตรวจสอบการเปลี่ยนแปลง API
คุณใช้พร็อพเพอร์ตี้
browser_actions
หรือchrome.browserActions
APIให้แทนที่
browser_actions
ด้วยพร็อพเพอร์ตี้browser_action
ในรูปเอกพจน์แทนที่
chrome.browserActions
ด้วยchrome.browserAction
แทนที่พร็อพเพอร์ตี้
icons
ด้วยdefault_icon
แทนที่พร็อพเพอร์ตี้
name
ด้วยdefault_title
แทนที่พร็อพเพอร์ตี้
popup
ด้วยdefault_popup
(และต้องเป็นสตริง)คุณใช้พร็อพเพอร์ตี้
page_actions
หรือchrome.pageActions
APIแทนที่
page_actions
ด้วยpage_action
แทนที่
chrome.pageActions
ด้วยchrome.pageAction
แทนที่พร็อพเพอร์ตี้
icons
ด้วยdefault_icon
แทนที่พร็อพเพอร์ตี้
name
ด้วยdefault_title
แทนที่พร็อพเพอร์ตี้
popup
ด้วยdefault_popup
(และต้องเป็นสตริง)คุณใช้พร็อพเพอร์ตี้
chrome.self
อยู่หรือไม่แทนที่ด้วย
chrome.extension
คุณใช้พร็อพเพอร์ตี้
Port.tab
อยู่หรือไม่แทนที่ด้วย
Port.sender
คุณใช้ API ของ
chrome.extension.getTabContentses()
หรือchrome.extension.getExtensionTabs()
แทนที่ด้วย
chrome.extension.getViews( { "type" : "tab" } )
ส่วนขยายของคุณใช้หน้าเว็บพื้นหลังหรือไม่
แทนที่พร็อพเพอร์ตี้
background_page
ด้วยพร็อพเพอร์ตี้background
เพิ่มพร็อพเพอร์ตี้
scripts
หรือpage
ที่มีโค้ดของหน้าเว็บเพิ่มพร็อพเพอร์ตี้
persistent
และตั้งค่าเป็นfalse
เพื่อแปลงหน้าพื้นหลังเป็นหน้าเหตุการณ์
เช็กลิสต์การเปลี่ยนแปลงการรักษาความปลอดภัย
คุณใช้บล็อกสคริปต์ในหน้า HTML ใช่หรือไม่
นำโค้ด JS ที่อยู่ในแท็ก
<script>
ออกและวางไว้ในไฟล์ JS ภายนอกคุณใช้เครื่องจัดการเหตุการณ์แบบอินไลน์ (เช่น onclick ฯลฯ) หรือไม่
นำออกจากโค้ด HTML ย้ายไปไว้ในไฟล์ JS ภายนอกและใช้
addEventListener()
แทนส่วนขยายของคุณแทรกสคริปต์เนื้อหาลงในหน้าเว็บที่ต้องเข้าถึงทรัพยากรต่างๆ (เช่น รูปภาพและสคริปต์) ที่อยู่ในแพ็กเกจของส่วนขยายหรือไม่
กำหนดพร็อพเพอร์ตี้ web_accessible_resources และแสดงรายการทรัพยากร (รวมถึงนโยบายรักษาความปลอดภัยเนื้อหาแยกต่างหากสำหรับทรัพยากรเหล่านั้นด้วย)
ส่วนขยายของคุณฝังหน้าเว็บภายนอกหรือไม่
กำหนดพร็อพเพอร์ตี้ sandbox
โค้ดหรือไลบรารีของคุณใช้
eval()
,Function()
ใหม่,innerHTML
,setTimeout()
หรือส่งสตริงของโค้ด JS ที่ได้รับการประเมินแบบไดนามิกหรือไม่ใช้
JSON.parse()
หากคุณกำลังแยกวิเคราะห์โค้ด JSON ลงในออบเจ็กต์ใช้ไลบรารีที่เหมาะกับ CSP เช่น AngularJS
สร้างรายการแซนด์บ็อกซ์ในไฟล์ Manifest และเรียกใช้โค้ดที่ได้รับผลกระทบในแซนด์บ็อกซ์โดยใช้
postMessage()
เพื่อสื่อสารกับหน้าเว็บที่ทำแซนด์บ็อกซ์คุณกำลังโหลดโค้ดภายนอก เช่น jQuery หรือ Google Analytics อยู่หรือไม่
ลองดาวน์โหลดไลบรารีและรวมแพ็กเกจในส่วนขยาย จากนั้นโหลดจากแพ็กเกจในเครื่อง
เพิ่มโดเมน HTTPS ซึ่งให้บริการทรัพยากรในส่วน "content_security_policy" ของไฟล์ Manifest ไว้ในรายการที่อนุญาต
สรุปการเปลี่ยนแปลงของ API
ไฟล์ Manifest เวอร์ชัน 2 ทำการเปลี่ยนแปลงบางอย่างกับ API การทำงานของเบราว์เซอร์และ API การทำงานของหน้าเว็บ และแทนที่ API เก่า 2-3 รายการด้วย API ที่ใหม่กว่า
การเปลี่ยนแปลงการดำเนินการของเบราว์เซอร์
Browser Actions API มีการเปลี่ยนแปลงการตั้งชื่อดังนี้
- ระบบได้แทนที่พร็อพเพอร์ตี้
browser_actions
และchrome.browserActions
ด้วยพร็อพเพอร์ตี้เดี่ยวๆbrowser_action
และchrome.browserAction
ในพร็อพเพอร์ตี้
browser_actions
เดิมจะมีพร็อพเพอร์ตี้icons
,name
และpopup
ซึ่งถูกแทนที่ด้วยdefault_icon
สำหรับไอคอนป้ายการดำเนินการของเบราว์เซอร์default_name
สำหรับข้อความที่ปรากฏในเคล็ดลับเครื่องมือเมื่อคุณวางเมาส์เหนือป้ายdefault_popup
สำหรับหน้า HTML ที่แสดง UI สำหรับการทำงานของเบราว์เซอร์ (ซึ่งตอนนี้ต้องเป็นสตริง ไม่ใช่ออบเจ็กต์)
การเปลี่ยนแปลงการดำเนินการของหน้าเว็บ
นอกจากนี้ API การดำเนินการของหน้าเว็บยังเปลี่ยนไปด้วย เช่นเดียวกับการเปลี่ยนแปลงของการดำเนินการในเบราว์เซอร์
- ระบบได้แทนที่พร็อพเพอร์ตี้
page_actions
และchrome.pageActions
ด้วยเลขคู่เอกพจน์page_action
และchrome.pageAction
ในพร็อพเพอร์ตี้
page_actions
เดิมจะมีพร็อพเพอร์ตี้icons
,name
และpopup
โดยมีการแทนที่ด้วยdefault_icon
สำหรับไอคอนป้ายการทำงานของหน้าเว็บdefault_name
สำหรับข้อความที่ปรากฏในเคล็ดลับเครื่องมือเมื่อคุณวางเมาส์เหนือป้ายdefault_popup
สำหรับหน้า HTML ที่แสดง UI สำหรับการทำงานของหน้าเว็บ (ซึ่งตอนนี้ต้องเป็นสตริง ไม่ใช่ออบเจ็กต์)
นำ API ออกและเปลี่ยนแล้ว
เราได้นำ API ของส่วนขยายบางรายการออกและแทนที่ด้วย API ใหม่ ดังนี้
- มีการแทนที่พร็อพเพอร์ตี้
background_page
ด้วยพื้นหลัง - นำพร็อพเพอร์ตี้
chrome.self
ออกแล้ว โปรดใช้chrome.extension
- ระบบได้แทนที่พร็อพเพอร์ตี้
Port.tab
ด้วยPort.sender
แล้ว - เราได้แทนที่ API ของ
chrome.extension.getTabContentses()
และchrome.extension.getExtensionTabs()
ด้วยchrome.extension.getViews( { "type" : "tab" } )
สรุปการเปลี่ยนแปลงด้านความปลอดภัย
มีการเปลี่ยนแปลงด้านความปลอดภัยมากมายที่เกิดขึ้นพร้อมกับการย้ายจากไฟล์ Manifest เวอร์ชัน 1 ไปยังเวอร์ชัน 2 การเปลี่ยนแปลงเหล่านี้ส่วนใหญ่มาจากการปรับใช้นโยบายรักษาความปลอดภัยเนื้อหาของ Chrome คุณควรอ่านเพิ่มเติมเกี่ยวกับนโยบายนี้เพื่อทำความเข้าใจผลของนโยบายนี้
ไม่อนุญาตให้ใช้สคริปต์อินไลน์และเครื่องจัดการเหตุการณ์
การใช้นโยบายรักษาความปลอดภัยเนื้อหาจะทำให้คุณใช้แท็ก <script>
ในหน้าเนื้อหา HTML ไม่ได้อีกต่อไป โดยต้องย้ายไฟล์เหล่านี้ไปยังไฟล์ JS ภายนอก และยังไม่รองรับเครื่องจัดการเหตุการณ์แบบอินไลน์ ตัวอย่างเช่น สมมติว่าคุณมีโค้ดต่อไปนี้ในส่วนขยาย
<html>
<head>
<script>
function myFunc() { ... }
</script>
</head>
</html>
โค้ดนี้จะทําให้เกิดข้อผิดพลาดขณะรันไทม์ วิธีแก้ปัญหานี้คือย้ายเนื้อหาแท็ก <script>
ไปยังไฟล์ภายนอกและอ้างอิงด้วยแอตทริบิวต์ src='path_to_file.js'
ในทำนองเดียวกัน เครื่องจัดการเหตุการณ์แบบอินไลน์ซึ่งเป็นเหตุการณ์ทั่วไปและฟีเจอร์อำนวยความสะดวกที่นักพัฒนาเว็บจำนวนมากใช้จะไม่ทำงาน ลองพิจารณาตัวอย่างที่พบบ่อย เช่น
<body onload="initialize()">
<button onclick="handleClick()" id="button1">
ส่วนขยายเหล่านี้จะไม่ทำงานในส่วนขยายไฟล์ Manifest V2 นำเครื่องจัดการเหตุการณ์ในบรรทัดออก วางไว้ในไฟล์ JS ภายนอกและใช้ addEventListener()
เพื่อลงทะเบียนเครื่องจัดการเหตุการณ์แทน ตัวอย่างเช่น
ในโค้ด JS ให้ใช้
window.addEventListener("load", initialize);
...
document.getElementById("button1").addEventListener("click",handleClick);
วิธีนี้เป็นวิธีที่สะอาดกว่ามากในการแยกลักษณะการทำงานของส่วนขยายออกจากมาร์กอัปอินเทอร์เฟซผู้ใช้
การฝังเนื้อหา
มีบางสถานการณ์ที่ส่วนขยายของคุณอาจฝังเนื้อหาที่สามารถนำไปใช้ภายนอกหรือมาจากแหล่งที่มาภายนอก
เนื้อหาส่วนขยายในหน้าเว็บ: หากส่วนขยายฝังทรัพยากร (เช่น รูปภาพ สคริปต์ รูปแบบ CSS ฯลฯ) ที่ใช้ในสคริปต์เนื้อหาที่แทรกลงในหน้าเว็บ คุณจะต้องใช้พร็อพเพอร์ตี้ web_accessible_resources ในรายการที่อนุญาตเพื่อให้หน้าเว็บภายนอกใช้ทรัพยากรเหล่านี้ได้
{
...
"web_accessible_resources": [
"images/image1.png",
"script/myscript.js"
],
...
}
การฝังเนื้อหาภายนอก: นโยบายรักษาความปลอดภัยเนื้อหาอนุญาตให้โหลดสคริปต์และออบเจ็กต์ในเครื่องจากแพ็กเกจเท่านั้น ซึ่งป้องกันไม่ให้ผู้โจมตีภายนอกนำโค้ดที่ไม่รู้จักไปใช้กับส่วนขยายของคุณ อย่างไรก็ตาม อาจมีบางครั้งที่คุณต้องการโหลดทรัพยากรที่แสดงผลภายนอก เช่น jQuery หรือโค้ด Google Analytics ซึ่งทำได้ 2 วิธีด้วยกันดังนี้
- ดาวน์โหลดไลบรารีที่เกี่ยวข้องในเครื่อง (เช่น jQuery) และรวมไลบรารีไว้กับส่วนขยายของคุณ
คุณจะผ่อนปรน CSP ได้ด้วยวิธีที่จำกัดโดยอนุญาตต้นทาง HTTPS ในส่วน "content_security_policy" ของไฟล์ Manifest วิธีเพิ่มไลบรารี อย่าง Google Analytics มีดังนี้
{ ..., "content_security_policy": "script-src 'self' https://ssl.google-analytics.com; object-src 'self'", ... }
การใช้การประเมินสคริปต์แบบไดนามิก
การเปลี่ยนแปลงที่สำคัญที่สุดอย่างหนึ่งในรูปแบบไฟล์ Manifest v2 ใหม่ก็คือส่วนขยายจะใช้เทคนิคการประเมินสคริปต์แบบไดนามิก เช่น eval()
หรือ Function()
แบบใหม่ หรือส่งสตริงของโค้ด JS ไปยังฟังก์ชันที่ต้องใช้ eval()
เช่น setTimeout()
ไม่ได้อีกต่อไป นอกจากนี้ ไลบรารี JavaScript ที่ใช้กันโดยทั่วไปบางไลบรารี เช่น Google Maps และไลบรารีเทมเพลตบางไลบรารีจะใช้เทคนิคเหล่านี้
Chrome มีแซนด์บ็อกซ์สำหรับให้หน้าเว็บทำงานในต้นทางของตัวเอง ซึ่งถูกปฏิเสธการเข้าถึง Chrome*
API หากต้องการใช้ eval()
และรายการอื่นๆ ที่คล้ายกันภายใต้นโยบายรักษาความปลอดภัยเนื้อหาใหม่ ให้ทำดังนี้
- สร้างรายการแซนด์บ็อกซ์ในไฟล์ Manifest
- ในรายการแซนด์บ็อกซ์ ให้ระบุหน้าเว็บที่คุณต้องการเรียกใช้ในแซนด์บ็อกซ์
- ใช้ข้อความที่ส่งผ่าน
postMessage()
เพื่อสื่อสารกับหน้าเว็บที่ทำแซนด์บ็อกซ์
โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีดำเนินการนี้ในเอกสารประกอบ Sandboxing Eval
อ่านเพิ่มเติม
การเปลี่ยนแปลงในไฟล์ Manifest เวอร์ชัน 2 ออกแบบมาเพื่อแนะนำนักพัฒนาซอฟต์แวร์ในการสร้างส่วนขยายและแอปที่ปลอดภัยและมีสถาปัตยกรรมที่มั่นคง หากต้องการดูรายการการเปลี่ยนแปลงทั้งหมดจากไฟล์ Manifest เวอร์ชัน 1 เป็นเวอร์ชัน 2 โปรดดูเอกสารเกี่ยวกับไฟล์ Manifest อ่านบทความการประเมินแซนด์บ็อกซ์เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้แซนด์บ็อกซ์เพื่อแยกโค้ดที่ไม่ปลอดภัย คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับนโยบายรักษาความปลอดภัยเนื้อหา ได้โดยไปที่บทแนะนำเกี่ยวกับส่วนขยายของเราและการแนะนำที่ดีเกี่ยวกับ HTML5Rocks