javascript - chrome extension 中的 content script 为啥不能使用全部的api ？

Question

chrome extension中通过content script 注入到页面的代码不能使用chrome.tabs 之类的api , 但是又可以通过chrome.extension.sendMessage 发送消息到后台间接调用api，请问为什么要这么去设计 ?

Answer 1

文档上说是为了安全，可能是google把一些有可能有安全隐患的api屏蔽掉，然后提供更安全的方式来实现吧。

内容脚本不能：

1. 调用 chrome.* API，除了以下 API：
   extension（getURL、inIncognitoContext、lastError、onRequest、sendRequest）
   i18n
   runtime（connect、getManifest、getURL、id、onConnect、onMessage、sendMessage）
   storage
2. 使用所属扩展程序页面中定义的变量或函数
3. 使用网页或其他内容脚本中定义的变量或函数

这些限制并不如看上去那么糟糕，内容脚本可以间接地通过与所属扩展程序交换消息的方式，来使用 chrome.* API、访问扩展程序数据并请求扩展程序完成操作。内容脚本也可以像所属扩展程序一样向拥有主机权限的站点发出跨站 XMLHttpRequest，另外也可以使用共享的 DOM 与网页通信。