使用内容脚本访问页面上下文变量和函数

IT技术 javascript google-chrome google-chrome-extension youtube-api content-script
2021-01-03 22:26:08

我正在学习如何创建 Chrome 扩展程序。我刚开始开发一个来捕捉 YouTube 事件。我想将它与 YouTube Flash 播放器一起使用(稍后我将尝试使其与 HTML5 兼容)。

清单.json:

{
    "name": "MyExtension",
    "version": "1.0",
    "description": "Gotta catch Youtube events!",
    "permissions": ["tabs", "http://*/*"],
    "content_scripts" : [{
        "matches" : [ "www.youtube.com/*"],
        "js" : ["myScript.js"]
    }]
}

myScript.js:

function state() { console.log("State Changed!"); }
var player = document.getElementById("movie_player");
player.addEventListener("onStateChange", "state");
console.log("Started!");

问题是控制台给了我“开始!” ,但没有“状态改变!” 当我播放/暂停 YouTube 视频时。

将此代码放入控制台时,它起作用了。我究竟做错了什么?

6个回答

根本原因:
内容脚本在“孤立世界”环境中执行

解决方案:
访问功能/页上下文(“主世界”)的变量,你必须将代码注入到使用DOM页面本身。如果您想您的函数/变量公开给页面上下文(在您的情况下是state()方法),也是如此。

  • 如果需要与页面脚本通信,请注意:
    使用 DOMCustomEvent处理程序。示例:

  • 如果chrome页面脚本中需要 API,请注意
    由于chrome.*无法在页面脚本中使用 API,您必须在内容脚本中使用它们并通过 DOM 消息传递将结果发送到页面脚本(请参阅上面的注释)。

安全警告
页面可能会重新定义或增加/挂钩内置原型,因此如果页面以不兼容的方式执行,您公开的代码可能会失败。如果您想确保您公开的代码在安全环境中运行,那么您应该 a) 使用“run_at”:“document_start”声明您的内容脚本并使用方法 2-3 而不是 1,或者 b) 提取原始的原生内置 -通过一个空的 iframe 插入,例如请注意,document_start您可能需要DOMContentLoaded在公开代码中使用事件来等待 DOM。

目录

  • 方法一:注入另一个文件——兼容ManifestV3
  • 方法二:注入嵌入代码
  • 方法 2b:使用函数
  • 方法 3:使用内联事件
  • 注入代码中的动态值

方法一:注入另一个文件

目前唯一与 ManifestV3 兼容的方法。当你有很多代码时特别好。将代码放在扩展名中的文件中,例如script.js. 然后将其加载到您的内容脚本中,如下所示:

var s = document.createElement('script');
s.src = chrome.runtime.getURL('script.js');
s.onload = function() {
    this.remove();
};
(document.head || document.documentElement).appendChild(s);

js 文件必须暴露在web_accessible_resources

  • ManifestV2 的 manifest.json 示例

    "web_accessible_resources": ["script.js"],
    
  • ManifestV3 的 manifest.json 示例

    "web_accessible_resources": [{
      "resources": ["script.js"],
      "matches": ["<all_urls>"]
    }]
    

如果没有,控制台会出现以下错误:

拒绝加载 chrome-extension://[EXTENSIONID]/script.js。资源必须列在 web_accessible_resources 清单键中,以便由扩展之外的页面加载。

方法二:注入嵌入代码

当您想快速运行一小段代码时,此方法很有用。(另请参阅:如何使用 Chrome 扩展程序禁用 Facebook 热键?)。

var actualCode = `// Code here.
// If you want to use a variable, use $ and curly braces.
// For example, to use a fixed random number:
var someFixedRandomValue = ${ Math.random() };
// NOTE: Do not insert unsafe variables in this way, see below
// at "Dynamic values in the injected code"
`;

var script = document.createElement('script');
script.textContent = actualCode;
(document.head||document.documentElement).appendChild(script);
script.remove();

注意:模板文字仅在 Chrome 41 及更高版本中受支持。如果您希望扩展程序在 Chrome 40- 中运行,请使用:

var actualCode = ['/* Code here. Example: */' + 'alert(0);',
                  '// Beware! This array have to be joined',
                  '// using a newline. Otherwise, missing semicolons',
                  '// or single-line comments (//) will mess up your',
                  '// code ----->'].join('\n');

方法 2b:使用函数

对于一大段代码,引用字符串是不可行的。可以使用函数而不是使用数组,并对其进行字符串化:

var actualCode = '(' + function() {
    // All code is executed in a local scope.
    // For example, the following does NOT overwrite the global `alert` method
    var alert = null;
    // To overwrite a global variable, prefix `window`:
    window.alert = null;
} + ')();';
var script = document.createElement('script');
script.textContent = actualCode;
(document.head||document.documentElement).appendChild(script);
script.remove();

此方法有效,因为+字符串和函数上运算符将所有对象转换为字符串。如果您打算多次使用代码,最好创建一个函数以避免代码重复。一个实现可能看起来像:

function injectScript(func) {
    var actualCode = '(' + func + ')();'
    ...
}
injectScript(function() {
   alert("Injected script");
});

注意:由于函数被序列化,原来的作用域,以及所有绑定的属性都丢失了!

var scriptToInject = function() {
    console.log(typeof scriptToInject);
};
injectScript(scriptToInject);
// Console output:  "undefined"

方法 3:使用内联事件

有时,您想立即运行一些代码,例如在<head>创建元素之前运行一些代码这可以通过插入一个<script>标签来完成textContent(参见方法 2/2b)。

另一种但不推荐的方法是使用内联事件。不推荐这样做,因为如果页面定义了禁止内联脚本的内容安全策略,则会阻止内联事件侦听器。另一方面,由扩展注入的内联脚本仍然运行。如果您仍想使用内联事件,方法如下:

var actualCode = '// Some code example \n' + 
                 'console.log(document.documentElement.outerHTML);';

document.documentElement.setAttribute('onreset', actualCode);
document.documentElement.dispatchEvent(new CustomEvent('reset'));
document.documentElement.removeAttribute('onreset');

注意:此方法假定没有其他处理该reset事件的全局事件侦听器如果有,您还可以选择其他全局事件之一。只需打开 JavaScript 控制台 (F12),键入document.documentElement.on,然后选择可用的事件。

注入代码中的动态值

有时,您需要将任意变量传递给注入的函数。例如:

var GREETING = "Hi, I'm ";
var NAME = "Rob";
var scriptToInject = function() {
    alert(GREETING + NAME);
};

要注入此代码,您需要将变量作为参数传递给匿名函数。一定要正确实施!下面将工作:

var scriptToInject = function (GREETING, NAME) { ... };
var actualCode = '(' + scriptToInject + ')(' + GREETING + ',' + NAME + ')';
// The previous will work for numbers and booleans, but not strings.
// To see why, have a look at the resulting string:
var actualCode = "(function(GREETING, NAME) {...})(Hi, I'm ,Rob)";
//                                                 ^^^^^^^^ ^^^ No string literals!

解决方案是JSON.stringify在传递参数之前使用例子:

var actualCode = '(' + function(greeting, name) { ...
} + ')(' + JSON.stringify(GREETING) + ',' + JSON.stringify(NAME) + ')';

如果你有很多变量,值得使用JSON.stringify一次,以提高可读性,如下:

...
} + ')(' + JSON.stringify([arg1, arg2, arg3, arg4]) + ')';
有人问我为什么使用script.parentNode.removeChild(script);. 我这样做的原因是因为我喜欢清理我的烂摊子。当内联脚本插入到文档中时,它会立即执行,并且<script>可以安全地删除标记。
2021-02-20 22:26:08
其他方法:location.href = "javascript: alert('yeah')";在内容脚本中的任何地方使用短代码片段更容易,并且还可以访问页面的 JS 对象。
2021-02-28 22:26:08
@ Qantas94Heavy扩展的CSP也不会影响内容的脚本。只有页面的 CSP是相关的。方法 1 可以通过使用script-src排除扩展源指令来阻止,方法 2 可以通过使用排除“不安全内联”的 CSP 来阻止。
2021-03-02 22:26:08
这个答案应该是官方文档的一部分。官方文档应该以推荐的方式提供 --> 3 种方法来做同样的事情......错了吗?
2021-03-04 22:26:08
@ChrisP 小心使用javascript:. 跨越多行的代码可能无法按预期工作。行注释 ( //) 将截断余数,因此这将失败:location.href = 'javascript:// Do something <newline> alert(0);';这可以通过确保使用多行注释来规避。另一件需要注意的事情是表达式的结果应该是空的。javascript:window.x = 'some variable';将导致文档卸载,并被替换为短语“一些变量”。如果使用得当,它确实是<script>.
2021-03-04 22:26:08

唯一的事情 丢失的 Rob W 的优秀答案隐藏的是如何在注入的页面脚本和内容脚本之间进行通信。

在接收端(您的内容脚本或注入的页面脚本)添加一个事件侦听器:

document.addEventListener('yourCustomEvent', function (e) {
  var data = e.detail;
  console.log('received', data);
});

在发起方(内容脚本或注入的页面脚本)发送事件:

var data = {
  allowedTypes: 'those supported by structured cloning, see the list below',
  inShort: 'no DOM elements or classes/functions',
};

document.dispatchEvent(new CustomEvent('yourCustomEvent', { detail: data }));

笔记:

  • DOM 消息传递使用结构化克隆算法,除了原始值之外,它只能传输某些类型的数据它不能发送类实例或函数或 DOM 元素。
  • 在 Firefox 中,要将对象(即不是原始值)从内容脚本发送到页面上下文,您必须使用cloneInto(内置函数)将其显式克隆到目标中,否则它将因安全违规错误而失败.

    document.dispatchEvent(new CustomEvent('yourCustomEvent', {
      detail: cloneInto(data, document.defaultView),
    }));
    
我实际上已将答案的第二行中的代码和解释链接到stackoverflow.com/questions/9602022/...
2021-02-12 22:26:08
您是否有更新方法的参考(例如错误报告或测试用例?)CustomEvent构造函数取代了已弃用的document.createEventAPI。
2021-02-14 22:26:08
我认为官方的方式是使用window.postMessage:developer.chrome.com/extensions/...
2021-02-16 22:26:08
如何将响应从内容脚本发送回启动器脚本
2021-02-18 22:26:08
对我来说,'dispatchEvent(new CustomEvent...' 工作。我有 Chrome 33。它之前也没有工作,因为我在注入 js 代码后编写了 addEventListener。
2021-03-04 22:26:08

我还遇到了加载脚本的排序问题,这是通过顺序加载脚本解决的。加载基于Rob W 的 answer

function scriptFromFile(file) {
    var script = document.createElement("script");
    script.src = chrome.extension.getURL(file);
    return script;
}

function scriptFromSource(source) {
    var script = document.createElement("script");
    script.textContent = source;
    return script;
}

function inject(scripts) {
    if (scripts.length === 0)
        return;
    var otherScripts = scripts.slice(1);
    var script = scripts[0];
    var onload = function() {
        script.parentNode.removeChild(script);
        inject(otherScripts);
    };
    if (script.src != "") {
        script.onload = onload;
        document.head.appendChild(script);
    } else {
        document.head.appendChild(script);
        onload();
    }
}

用法示例是:

var formulaImageUrl = chrome.extension.getURL("formula.png");
var codeImageUrl = chrome.extension.getURL("code.png");

inject([
    scriptFromSource("var formulaImageUrl = '" + formulaImageUrl + "';"),
    scriptFromSource("var codeImageUrl = '" + codeImageUrl + "';"),
    scriptFromFile("EqEditor/eq_editor-lite-17.js"),
    scriptFromFile("EqEditor/eq_config.js"),
    scriptFromFile("highlight/highlight.pack.js"),
    scriptFromFile("injected.js")
]);

实际上,我对 JS 有点陌生,所以请随时向我询问更好的方法。

你可以,但是使用 IIFE 的成本可以忽略不计,所以我认为没有理由比 IIFE 更喜欢命名空间污染。我很重视我不会以某种方式破坏其他人的网页,以及使用短变量名的能力。使用 IIFE 的另一个优点是您可以根据需要提前退出脚本 ( return;)。
2021-02-14 22:26:08
@RobW 感谢您的留言,尽管更多的是关于样本。你能澄清一下,为什么我应该使用 IIFE 而不是仅仅得到dataset
2021-02-22 22:26:08
这种插入脚本的方式并不好,因为你正在污染网页的命名空间。如果网页使用名为formulaImageUrlor的变量codeImageUrl,那么您实际上是在破坏网页的功能。如果你想向网页传递一个变量,我建议将数据附加到脚本元素 ( e.g. script.dataset.formulaImageUrl = formulaImageUrl;) 并(function() { var dataset = document.currentScript.dataset; alert(dataset.formulaImageUrl;) })();在脚本中使用 eg来访问数据。
2021-03-03 22:26:08
@RobW 很棒!但是我们不能只使用一些变量名,它几乎不会与现有的相交。它只是不惯用语还是我们可能会遇到其他一些问题?
2021-03-03 22:26:08
document.currentScript仅在执行时指向脚本标记。如果您想访问脚本标记和/或其属性/属性(例如dataset),则需要将其存储在变量中。我们需要一个 IIFE 来获取一个闭包来存储这个变量而不污染全局命名空间。
2021-03-08 22:26:08

在内容脚本中,我将脚本标记添加到绑定“onmessage”处理程序的头部,在我使用的处理程序中,eval 执行代码。在展位内容脚本中,我也使用 onmessage 处理程序,因此我获得了两种通信方式。 Chrome 文档

//Content Script

var pmsgUrl = chrome.extension.getURL('pmListener.js');
$("head").first().append("<script src='"+pmsgUrl+"' type='text/javascript'></script>");


//Listening to messages from DOM
window.addEventListener("message", function(event) {
  console.log('CS :: message in from DOM', event);
  if(event.data.hasOwnProperty('cmdClient')) {
    var obj = JSON.parse(event.data.cmdClient);
    DoSomthingInContentScript(obj);
 }
});

pmListener.js 是一个 post 消息 url 监听器

//pmListener.js

//Listen to messages from Content Script and Execute Them
window.addEventListener("message", function (msg) {
  console.log("im in REAL DOM");
  if (msg.data.cmnd) {
    eval(msg.data.cmnd);
  }
});

console.log("injected To Real Dom");

这样,我可以在 CS 到 Real Dom 之间进行 2 路通信。它非常有用,例如,如果您需要侦听 webscoket 事件,或任何内存变量或事件。

您可以使用我为在页面上下文中运行代码并取回返回值而创建的实用程序函数。

这是通过将函数序列化为字符串并将其注入网页来完成的。

该实用程序可在 GitHub 上获得

用法示例——



// Some code that exists only in the page context -
window.someProperty = 'property';
function someFunction(name = 'test') {
    return new Promise(res => setTimeout(()=>res('resolved ' + name), 1200));
}
/////////////////

// Content script examples -

await runInPageContext(() => someProperty); // returns 'property'

await runInPageContext(() => someFunction()); // returns 'resolved test'

await runInPageContext(async (name) => someFunction(name), 'with name' ); // 'resolved with name'

await runInPageContext(async (...args) => someFunction(...args), 'with spread operator and rest parameters' ); // returns 'resolved with spread operator and rest parameters'

await runInPageContext({
    func: (name) => someFunction(name),
    args: ['with params object'],
    doc: document,
    timeout: 10000
} ); // returns 'resolved with params object'