在 Firefox 扩展中注入动态脚本

Question

我现在正在做一个扩展，我的脚本的一部分是静态的（永远不会改变），另一部分是从网站加载的。而且，我看到了两种方法：

1. 使用 XMLHttpRequest 加载它并注入网页
2. 将其作为 并让它自行加载

但是，第二种方式可能无法访问我的扩展 API（扩展文件中定义的函数，即 chrome://myext/script.js 中）

并且，第一种方法可能是不安全，因为我必须评估 gBrowser.contentWindow.wrappedJSObject 对象中的代码，该对象是加载页面的 Window 对象

有什么想法吗？

Answer 1

你是说你想让动态脚本有chrome权限吗？如果是这样，为什么不使用 XMLHttpRequest 加载它，将其保存到磁盘，然后将其作为 JavaScript 模块导入 (https://developer.mozilla.org/en/JavaScript_code_modules/Using)。显然，存在安全考虑，因为您为来自网络的脚本提供了几乎无限的特权，但如果您控制脚本的源，那么您可能没问题。如果您真的担心，可以使用 HTTPS 下载脚本，这将防止有人拦截流量。

如果您希望代码以内容权限运行，但可以访问 chrome JavaScript 中的函数，那么您可能希望将 chrome 函数公开给内容，如本文所述：http://weblogs.mozillazine.org/weirdal/archives/017188.html