El permiso "activeTab"

El permiso "activeTab" otorga a una extensión acceso temporal a la pestaña activa en ese momento cuando la El usuario invoca la extensión (por ejemplo, cuando hace clic en su acción). Acceso a la pestaña Perdura mientras el usuario esté en esa página y se revoca cuando el usuario sale de la página o cierra la pestaña. Por ejemplo, si el usuario invoca la extensión en https://example.com y, luego, navega a https://example.com/foo, la extensión seguirá teniendo acceso a la página. Si el botón el usuario navega a https://chromium.org, se revoca el acceso.

Esto sirve como alternativa para muchos usos de "<all_urls>", pero muestra que no hay ningún mensaje de advertencia. durante la instalación:

Sin "activeTab":

Sin activeTab

Si usas "activeTab", ejecuta el siguiente comando:

Con activeTab

Ejemplo

Consulta la extensión de muestra de Page Redder:

manifest.json:

{
  "name": "Page Redder",
  "version": "2.0",
  "permissions": [
    "activeTab",
    "scripting"
  ],
  "background": {
    "service_worker": "service-worker.js"
  },
  "action": {
    "default_title": "Make this page red"
  },
  "manifest_version": 3
}

service-worker:

function reddenPage() {
  document.body.style.backgroundColor = 'red';
}

chrome.action.onClicked.addListener((tab) => {
  if (!tab.url.includes('chrome://')) {
    chrome.scripting.executeScript({
      target: { tabId: tab.id },
      func: reddenPage
    });
  }
});

Motivación

Considera usar una extensión de recorte web que tiene una acción y un elemento de menú contextual. Esta extensión solo necesite acceder a las pestañas cuando se hace clic en su acción o cuando se ejecuta el elemento del menú contextual.

Sin "activeTab", esta extensión tendría que solicitar acceso completo y persistente a cada sitio web, solo para que pueda hacer su trabajo si el usuario lo solicita. Son muchos poder confiar a una extensión tan simple. Y si la extensión alguna vez se ve comprometida, el atacante obtiene acceso a todo lo que tenía la extensión.

Por el contrario, una extensión con el permiso "activeTab" solo obtiene acceso a una pestaña como respuesta. a un gesto explícito del usuario. Si la extensión se ve comprometida, el atacante tendrá que esperar que que el usuario invoque la extensión antes de obtener acceso. Y ese acceso solo dura hasta que la pestaña se navegaste o está cerrado.

Qué "activeTab" permite

Mientras el permiso "activeTab" está habilitado para una pestaña, una extensión puede hacer lo siguiente:

  • Llama a scripting.insertCSS() o scripting.executeScript() en esa pestaña si también se declara el permiso "scripting" (como en el ejemplo anterior).
  • Obtén la URL, el título y el ícono de página de esa pestaña a través de una API que muestre un objeto tabs.Tab. (básicamente, "activeTab" otorga permiso de host de manera temporal).
  • Intercepta las solicitudes de red en la pestaña al origen del marco principal de la pestaña con webRequest en la API de Cloud. La extensión obtiene de manera temporal los permisos del host para el origen del marco principal de la pestaña.

Cómo invocar activeTab

Los siguientes gestos del usuario habilitan el permiso "activeTab":