10. rujna 2025.Hrvatski

Sveobuhvatan vodič za manifest datoteke ekstenzija preglednika i upravljanje dopuštenjima za JavaScript API, osiguravajući sigurnost i optimalnu funkcionalnost.

Manifest ekstenzije preglednika: Ovladavanje upravljanjem dopuštenjima za JavaScript API

Ekstenzije preglednika poboljšavaju korisničko iskustvo dodavanjem funkcionalnosti web preglednicima. Međutim, njihov pristup osjetljivim korisničkim podacima i značajkama preglednika zahtijeva stroge sigurnosne mjere. Manifest datoteka služi kao nacrt za ekstenziju, definirajući njezine metapodatke, dopuštenja i ponašanje. Ovaj sveobuhvatni vodič istražuje složenosti manifest datoteka ekstenzija preglednika, s naglaskom na upravljanje dopuštenjima za JavaScript API, te pruža najbolje prakse za programere diljem svijeta.

Što je manifest ekstenzije preglednika?

Manifest datoteka, obično nazvana manifest.json, je datoteka u JSON formatu koja pregledniku pruža bitne informacije o ekstenziji. Uključuje:

Metapodaci: Naziv, opis, verzija, autor, ikone i druge opisne informacije.
Dopuštenja: Deklaracije JavaScript API-ja i resursa kojima ekstenzija zahtijeva pristup.
Sadržajne skripte (Content Scripts): Definicije JavaScript i CSS datoteka koje se umeću u određene web stranice.
Pozadinske skripte (Background Scripts): Postojane skripte koje se izvode u pozadini, obrađuju događaje i upravljaju logikom ekstenzije.
Akcije preglednika/Akcije stranice (Browser Actions/Page Actions): Specifikacije za elemente korisničkog sučelja ekstenzije, kao što su ikone na alatnoj traci ili stavke u kontekstnom izborniku.

Dobro strukturirana manifest datoteka ključna je za instalaciju, funkcionalnost i sigurnost ekstenzije. Preglednik koristi manifest kako bi razumio zahtjeve ekstenzije te odobrio ili uskratio pristup zatraženim resursima.

Razumijevanje dopuštenja za JavaScript API

Ekstenzije preglednika komuniciraju s preglednikom i web stranicama putem JavaScript API-ja. Pristup tim API-jima kontrolira se sustavom dopuštenja. Manifest datoteka deklarira kojim API-jima ekstenzija treba pristup. Kada korisnik instalira ekstenziju, preglednik prikazuje popis zatraženih dopuštenja, omogućujući korisniku da donese informiranu odluku o tome hoće li vjerovati ekstenziji.

Uobičajena dopuštenja i njihove implikacije

Ovdje je pregled nekih uobičajenih dopuštenja za JavaScript API i njihovih potencijalnih implikacija:

activeTab: Daje ekstenziji privremeni pristup trenutno aktivnom tabu. To omogućuje ekstenziji da izvršava skripte i pristupa sadržaju na aktivnom tabu bez potrebe za trajnim pristupom svim web stranicama.
tabs: Pruža pristup tabovima i prozorima preglednika. Ovo dopuštenje omogućuje ekstenziji stvaranje, mijenjanje i zatvaranje tabova, kao i praćenje aktivnosti tabova. Primjer: Ekstenzija za upravljanje tabovima mogla bi koristiti ovo dopuštenje za organiziranje otvorenih tabova u grupe.
storage: Omogućuje ekstenziji pohranu i dohvaćanje podataka lokalno koristeći API za pohranu preglednika. Ovi podaci ostaju sačuvani čak i kada se preglednik zatvori i ponovno otvori. Primjer: Ekstenzija koja pamti korisničke postavke ili spremljene podatke koristi API za pohranu.
cookies: Daje ekstenziji pristup kolačićima (cookies) povezanim s web stranicama. Ovo dopuštenje omogućuje ekstenziji čitanje, mijenjanje i brisanje kolačića. Primjer: Ekstenzija koja upravlja vjerodajnicama za prijavu na web stranice mogla bi zahtijevati ovo dopuštenje.
webRequest i webRequestBlocking: Omogućuju ekstenziji presretanje i mijenjanje mrežnih zahtjeva. Ovo dopuštenje može se koristiti za blokiranje oglasa, mijenjanje HTTP zaglavlja ili preusmjeravanje prometa. Važno: Ovo dopuštenje treba koristiti s iznimnim oprezom, jer može značajno utjecati na performanse i sigurnost preglednika.
<all_urls>: Daje ekstenziji pristup svim web stranicama. Ovo je visoko privilegirano dopuštenje i treba ga izbjegavati kad god je to moguće. Zatražite ovo dopuštenje samo ako ekstenzija zaista treba komunicirati sa svim web stranicama. Primjer: Globalni bloker oglasa može zahtijevati ovo.
notifications: Omogućuje ekstenziji prikazivanje obavijesti na radnoj površini korisniku. Primjer: Ekstenzija koja obavještava korisnika o novim e-mailovima ili ažuriranjima na društvenim mrežama mogla bi koristiti ovo.
contextMenus: Omogućuje ekstenziji dodavanje stavki u kontekstni izbornik preglednika (izbornik desnog klika). Primjer: Ekstenzija koja korisniku omogućuje brzo prevođenje odabranog teksta mogla bi dodati stavku za prijevod u kontekstni izbornik.
geolocation: Daje pristup lokaciji korisnika. Primjer: Ekstenzija za vremensku prognozu mogla bi koristiti ovo dopuštenje za prikaz prognoze za trenutnu lokaciju korisnika.
identity: Omogućuje ekstenziji provjeru autentičnosti korisnika pomoću Googleovog Identity API-ja. Ovo se dopuštenje često koristi za ekstenzije koje se integriraju s Googleovim uslugama.

Svaki zahtjev za dopuštenje treba pažljivo razmotriti kako bi se smanjila površina napada ekstenzije i zaštitila privatnost korisnika. Zatražite samo minimalni skup dopuštenja potreban za predviđenu funkcionalnost ekstenzije.

Najbolje prakse za upravljanje dopuštenjima

Učinkovito upravljanje dopuštenjima ključno je za izradu sigurnih i pouzdanih ekstenzija preglednika. Evo nekoliko najboljih praksi koje treba slijediti:

1. Načelo najmanjih privilegija

Pridržavajte se načela najmanjih privilegija, koje kaže da bi ekstenzija trebala zatražiti samo minimalni skup dopuštenja potrebnih za obavljanje svoje predviđene funkcije. Izbjegavajte traženje širokih ili nepotrebnih dopuštenja, jer to može povećati rizik od sigurnosnih ranjivosti i narušiti povjerenje korisnika.

Primjer: Umjesto traženja <all_urls>, razmislite o korištenju activeTab ili specificiranju dopuštenja za određene hostove s kojima ekstenzija treba komunicirati.

2. Specifična dopuštenja za hostove

Umjesto traženja <all_urls>, deklarirajte specifična dopuštenja za hostove za web stranice kojima ekstenzija treba pristupiti. To ograničava pristup ekstenzije samo na navedene domene, smanjujući potencijalni utjecaj sigurnosnih ranjivosti.

Primjer: Kako biste omogućili ekstenziji pristup podacima na example.com i example.org, deklarirajte sljedeća dopuštenja za hostove u manifest datoteci:


"permissions": [
  "https://example.com/*",
  "https://example.org/*"
]

3. Opcionalna dopuštenja

Koristite opcionalna dopuštenja kako biste zatražili pristup API-jima samo kada su potrebni. Opcionalna dopuštenja omogućuju ekstenziji da funkcionira s ograničenom funkcionalnošću ako korisnik odbije dati zatražena dopuštenja. To može poboljšati prihvaćanje od strane korisnika i smanjiti percipirani rizik instaliranja ekstenzije.

Primjer: Ekstenzija koja se integrira s platformom društvenih medija mogla bi zatražiti dopuštenje identity kao opcionalno dopuštenje. Ako korisnik odbije dati dopuštenje, ekstenzija i dalje može funkcionirati bez integracije s društvenim medijima.

Da biste deklarirali opcionalna dopuštenja, koristite polje optional_permissions u manifest datoteci:


"optional_permissions": [
  "identity"
]

Ekstenzija tada može provjeriti je li opcionalno dopuštenje odobreno pomoću metode permissions.contains():


chrome.permissions.contains({ permissions: ['identity'] }, function(result) {
  if (result) {
    // Dopuštenje odobreno
  } else {
    // Dopuštenje nije odobreno
  }
});

4. Edukacija korisnika

Jasno objasnite zašto ekstenzija zahtijeva svako dopuštenje u opisu ekstenzije i korisničkom sučelju. Transparentnost gradi povjerenje i pomaže korisnicima da donesu informirane odluke o tome hoće li instalirati i dati dopuštenja ekstenziji. Razmislite o prikazivanju poruke korisnicima koja opisuje zašto je svako dopuštenje važno za funkciju ekstenzije.

Primjer: Ako ekstenzija zahtijeva dopuštenje geolocation, objasnite da se koristi za prikaz vremenske prognoze za trenutnu lokaciju korisnika.

5. Provjera valjanosti i sanitizacija unosa

Uvijek provjeravajte valjanost i sanitizirajte korisnički unos kako biste spriječili cross-site scripting (XSS) i druge sigurnosne ranjivosti. Ekstenzije preglednika posebno su osjetljive na XSS napade, jer mogu izvršiti proizvoljni JavaScript kod u kontekstu web stranica.

Primjer: Ako ekstenzija omogućuje korisnicima unos teksta, sanitizirajte unos kako biste uklonili svaki potencijalno zlonamjerni kod prije nego što ga prikažete u korisničkom sučelju ili pohranite u pohranu preglednika.

6. Politika sigurnosti sadržaja (CSP)

Implementirajte strogu Politiku sigurnosti sadržaja (CSP) kako biste ograničili izvore sadržaja koje ekstenzija može učitati. To može pomoći u sprječavanju XSS napada i drugih sigurnosnih ranjivosti.

CSP se definira u manifest datoteci pomoću polja content_security_policy:


"content_security_policy": "script-src 'self'; object-src 'none'"

Ovaj CSP omogućuje ekstenziji učitavanje skripti samo s vlastitog izvora i zabranjuje učitavanje objekata s bilo kojeg izvora. Prilagodite CSP kako bi odgovarao specifičnim zahtjevima ekstenzije, ali uvijek nastojte biti što restriktivniji.

7. Redovite sigurnosne provjere

Provodite redovite sigurnosne provjere koda ekstenzije kako biste identificirali i riješili potencijalne ranjivosti. Sigurnosne provjere trebaju provoditi iskusni sigurnosni stručnjaci koji su upoznati s najboljim praksama sigurnosti ekstenzija preglednika. Razmislite o korištenju alata za automatiziranu analizu koda kako biste identificirali uobičajene sigurnosne propuste.

8. Sigurna komunikacija

Koristite sigurne komunikacijske kanale (HTTPS) za sve mrežne zahtjeve kako biste zaštitili korisničke podatke od prisluškivanja. Izbjegavajte slanje osjetljivih podataka preko nekriptiranih veza.

9. Održavajte ovisnosti ažurnima

Održavajte sve biblioteke i ovisnosti trećih strana ažurnima kako biste zakrpali sigurnosne ranjivosti. Redovito provjeravajte ažuriranja i primjenjujte ih odmah.

10. Razmatranja specifična za preglednik

Budite svjesni razlika specifičnih za preglednike u rukovanju dopuštenjima i ponašanju API-ja. Temeljito testirajte ekstenziju na svim ciljanim preglednicima (Chrome, Firefox, Safari, itd.) kako biste osigurali kompatibilnost i sigurnost.

Primjer manifest datoteke

Ovdje je primjer osnovne manifest datoteke za ekstenziju preglednika:


{
  "manifest_version": 3,
  "name": "Moja Ekstenzija",
  "version": "1.0",
  "description": "Jednostavna ekstenzija preglednika",
  "permissions": [
    "activeTab",
    "storage"
  ],
  "background": {
    "service_worker": "background.js"
  },
  "content_scripts": [
    {
      "matches": ["https://example.com/*"],
      "js": ["content.js"]
    }
  ],
  "action": {
    "default_popup": "popup.html",
    "default_icon": {
      "16": "images/icon16.png",
      "48": "images/icon48.png",
      "128": "images/icon128.png"
    }
  },
  "icons": {
    "16": "images/icon16.png",
    "48": "images/icon48.png",
    "128": "images/icon128.png"
  }
}

Ova manifest datoteka deklarira sljedeće:

Ekstenzija zahtijeva dopuštenja activeTab i storage.
Ekstenzija ima pozadinsku skriptu nazvanu background.js.
Ekstenzija umeće sadržajnu skriptu nazvanu content.js u stranice na example.com.
Ekstenzija ima akciju preglednika s popup sučeljem definiranim u popup.html.
Ekstenzija ima ikone u različitim veličinama.

Razvoj sigurnosnog okruženja

Sigurnosno okruženje za ekstenzije preglednika neprestano se razvija. Proizvođači preglednika kontinuirano uvode nove sigurnosne značajke i politike kako bi zaštitili korisnike od zlonamjernih ekstenzija. Programeri moraju biti informirani o tim promjenama i prilagoditi svoje razvojne prakse u skladu s tim.

Na primjer, Chromeov Manifest V3 uveo je značajne promjene u način na koji ekstenzije komuniciraju s web stranicama i obrađuju mrežne zahtjeve. Te su promjene osmišljene kako bi se poboljšala sigurnost i privatnost, ali su također zahtijevale od programera da ažuriraju svoje ekstenzije kako bi bile u skladu s novim API-jem.

Alati i resursi

Dostupno je nekoliko alata i resursa koji pomažu programerima u izradi sigurnih ekstenzija preglednika:

Chrome Extension Toolkit: Skup alata za razvoj, ispravljanje pogrešaka i testiranje Chrome ekstenzija.
Firefox Add-on SDK: Okvir za izradu Firefox dodataka.
Sigurnosni linteri: Alati koji automatski skeniraju kod u potrazi za sigurnosnim ranjivostima.
Kontrolne liste za sigurnost ekstenzija preglednika: Popisi najboljih praksi za izradu sigurnih ekstenzija.
Resursi za web sigurnost: OWASP (Open Web Application Security Project) pruža vrijedne resurse o najboljim praksama web sigurnosti.

Zaključak

Ovladavanje upravljanjem dopuštenjima za JavaScript API ključno je za izradu sigurnih i pouzdanih ekstenzija preglednika. Slijedeći najbolje prakse navedene u ovom vodiču, programeri mogu smanjiti rizik od sigurnosnih ranjivosti i zaštititi privatnost korisnika. Kako se sigurnosno okruženje nastavlja razvijati, programeri moraju ostati informirani i prilagoditi svoje razvojne prakse kako bi osigurali sigurnost i integritet svojih ekstenzija. Ne zaboravite uvijek dati prioritet privatnosti i sigurnosti korisnika pri razvoju ekstenzija preglednika.

Implementacijom robusnih strategija upravljanja dopuštenjima, provjerom valjanosti korisničkih unosa, primjenom CSP-a i provođenjem redovitih sigurnosnih provjera, programeri mogu stvoriti ekstenzije preglednika koje poboljšavaju korisničko iskustvo, istovremeno čuvajući njihove podatke i privatnost. Predanost sigurnim praksama kodiranja osigurava da ekstenzije preglednika ostanu vrijedna imovina iskustva pregledavanja weba, potičući povjerenje i pouzdanje među korisnicima na globalnoj razini.