2025 m. rugsėjo 10 d.Lietuvių

Išsamus vadovas apie naršyklės plėtinių manifestų failus ir JavaScript API leidimų valdymą, užtikrinantis saugumą ir optimalų funkcionalumą kūrėjams visame pasaulyje.

Naršyklės plėtinio manifestas: JavaScript API leidimų valdymo įsisavinimas

Naršyklės plėtiniai pagerina vartotojo patirtį, pridedami funkcionalumų į interneto naršykles. Tačiau jų prieiga prie jautrių vartotojo duomenų ir naršyklės funkcijų reikalauja griežtų saugumo priemonių. Manifesto failas veikia kaip plėtinio planas, apibrėžiantis jo metaduomenis, leidimus ir elgseną. Šiame išsamiame vadove nagrinėjami naršyklės plėtinių manifestų failų subtilumai, daugiausia dėmesio skiriant JavaScript API leidimų valdymui, ir pateikiama geriausia praktika kūrėjams visame pasaulyje.

Kas yra naršyklės plėtinio manifestas?

Manifesto failas, paprastai pavadintas manifest.json, yra JSON formato failas, kuriame naršyklei pateikiama esminė informacija apie plėtinį. Jį sudaro:

Metaduomenys: Pavadinimas, aprašymas, versija, autorius, piktogramos ir kita aprašomoji informacija.
Leidimai: JavaScript API ir išteklių, prie kurių plėtiniui reikia prieigos, deklaracijos.
Turinio scenarijai (Content Scripts): JavaScript ir CSS failų, kurie bus įterpti į konkrečius tinklalapius, apibrėžimai.
Fono scenarijai (Background Scripts): Nuolatiniai scenarijai, veikiantys fone, apdorojantys įvykius ir valdantys plėtinio logiką.
Naršyklės veiksmai / Puslapio veiksmai (Browser Actions/Page Actions): Plėtinio vartotojo sąsajos elementų, tokių kaip įrankių juostos piktogramos ar kontekstinio meniu įrašai, specifikacijos.

Gerai struktūrizuotas manifesto failas yra labai svarbus plėtinio diegimui, funkcionalumui ir saugumui. Naršyklė naudoja manifestą, kad suprastų plėtinio reikalavimus ir suteiktų arba atmestų prieigą prie prašomų išteklių.

JavaScript API leidimų supratimas

Naršyklės plėtiniai sąveikauja su naršykle ir tinklalapiais per JavaScript API. Prieiga prie šių API yra valdoma per leidimų sistemą. Manifesto faile deklaruojama, prie kurių API plėtiniui reikia prieigos. Kai vartotojas įdiegia plėtinį, naršyklė parodo prašomų leidimų sąrašą, leisdama vartotojui priimti pagrįstą sprendimą, ar pasitikėti plėtiniu.

Dažniausiai pasitaikantys leidimai ir jų pasekmės

Pateikiame kai kurių dažniausiai pasitaikančių JavaScript API leidimų apžvalgą ir jų galimas pasekmes:

activeTab: Suteikia plėtiniui laikiną prieigą prie šiuo metu aktyvaus skirtuko. Tai leidžia plėtiniui vykdyti scenarijus ir pasiekti turinį aktyviame skirtuke, nereikalaujant nuolatinės prieigos prie visų svetainių.
tabs: Suteikia prieigą prie naršyklės skirtukų ir langų. Šis leidimas leidžia plėtiniui kurti, keisti ir uždaryti skirtukus, taip pat stebėti skirtukų veiklą. Pavyzdys: skirtukų valdymo plėtinys gali naudoti šį leidimą atidarytiems skirtukams organizuoti į grupes.
storage: Leidžia plėtiniui saugoti ir gauti duomenis vietoje, naudojant naršyklės saugyklos API. Šie duomenys išlieka net ir uždarius bei vėl atidarius naršyklę. Pavyzdys: plėtinys, kuris prisimena vartotojo nuostatas ar išsaugotus duomenis, naudoja saugyklos API.
cookies: Suteikia plėtiniui prieigą prie slapukų, susijusių su svetainėmis. Šis leidimas leidžia plėtiniui skaityti, keisti ir ištrinti slapukus. Pavyzdys: plėtinys, valdantis prisijungimo prie svetainių duomenis, gali reikalauti šio leidimo.
webRequest ir webRequestBlocking: Leidžia plėtiniui perimti ir keisti tinklo užklausas. Šis leidimas gali būti naudojamas blokuoti reklamas, keisti HTTP antraštes ar peradresuoti srautą. Svarbu: šį leidimą reikėtų naudoti itin atsargiai, nes jis gali ženkliai paveikti naršyklės našumą ir saugumą.
: Suteikia plėtiniui prieigą prie visų svetainių. Šis leidimas yra labai privilegijuotas ir jo reikėtų vengti, kai tik įmanoma. Prašykite šio leidimo tik tuo atveju, jei plėtiniui tikrai reikia sąveikauti su visomis svetainėmis. Pavyzdys: visuotiniam reklamos blokatoriui to gali prireikti.
notifications: Leidžia plėtiniui rodyti darbalaukio pranešimus vartotojui. Pavyzdys: plėtinys, pranešantis vartotojui apie naujus el. laiškus ar socialinių tinklų atnaujinimus, gali tai naudoti.
contextMenus: Leidžia plėtiniui pridėti įrašų į naršyklės kontekstinį meniu (dešiniojo pelės mygtuko meniu). Pavyzdys: plėtinys, leidžiantis vartotojui greitai išversti pasirinktą tekstą, gali pridėti vertimo kontekstinio meniu įrašą.
geolocation: Suteikia prieigą prie vartotojo buvimo vietos. Pavyzdys: orų prognozės plėtinys gali naudoti šį leidimą, kad parodytų orų prognozę dabartinei vartotojo vietai.
identity: Leidžia plėtiniui autentifikuoti vartotojus naudojant „Google“ tapatybės API. Šis leidimas dažnai naudojamas plėtiniams, kurie integruojasi su „Google“ paslaugomis.

Kiekvienas leidimo prašymas turėtų būti atidžiai apsvarstytas, siekiant sumažinti plėtinio pažeidžiamumą ir apsaugoti vartotojo privatumą. Prašykite tik minimalaus leidimų rinkinio, reikalingo numatytam plėtinio funkcionalumui.

Geriausia leidimų valdymo praktika

Efektyvus leidimų valdymas yra būtinas kuriant saugius ir patikimus naršyklės plėtinius. Štai keletas geriausios praktikos pavyzdžių, kurių reikėtų laikytis:

1. Mažiausių privilegijų principas

Laikykitės mažiausių privilegijų principo, kuris teigia, kad plėtinys turėtų prašyti tik minimalaus leidimų rinkinio, reikalingo numatytai funkcijai atlikti. Venkite prašyti plačių ar nereikalingų leidimų, nes tai gali padidinti saugumo pažeidžiamumo riziką ir sumažinti vartotojų pasitikėjimą.

Pavyzdys: Užuot prašę <all_urls>, apsvarstykite galimybę naudoti activeTab arba nurodyti konkrečius prieglobos leidimus svetainėms, su kuriomis plėtiniui reikia sąveikauti.

2. Konkretūs prieglobos leidimai

Užuot prašę <all_urls>, deklaruokite konkrečius prieglobos leidimus svetainėms, prie kurių plėtiniui reikia prieigos. Tai apriboja plėtinio prieigą tik prie nurodytų domenų, sumažinant galimą saugumo pažeidžiamumų poveikį.

Pavyzdys: Norėdami leisti plėtiniui pasiekti duomenis example.com ir example.org svetainėse, manifesto faile deklaruokite šiuos prieglobos leidimus:


"permissions": [
  "https://example.com/*",
  "https://example.org/*"
]

3. Pasirenkami leidimai

Naudokite pasirenkamus leidimus, kad prašytumėte prieigos prie API tik tada, kai jų reikia. Pasirenkami leidimai leidžia plėtiniui veikti su ribotu funkcionalumu, jei vartotojas atsisako suteikti prašomus leidimus. Tai gali pagerinti vartotojų įsisavinimą ir sumažinti suvokiamą riziką diegiant plėtinį.

Pavyzdys: Plėtinys, kuris integruojasi su socialinės medijos platforma, galėtų prašyti identity leidimo kaip pasirenkamo leidimo. Jei vartotojas atsisako suteikti leidimą, plėtinys vis tiek gali veikti be socialinės medijos integracijos.

Norėdami deklaruoti pasirenkamus leidimus, manifesto faile naudokite lauką optional_permissions:


"optional_permissions": [
  "identity"
]

Tada plėtinys gali patikrinti, ar pasirenkamas leidimas buvo suteiktas, naudojant metodą permissions.contains():


chrome.permissions.contains({ permissions: ['identity'] }, function(result) {
  if (result) {
    // Leidimas suteiktas
  } else {
    // Leidimas nesuteiktas
  }
});

4. Vartotojų švietimas

Plėtinio aprašyme ir vartotojo sąsajoje aiškiai paaiškinkite, kodėl plėtiniui reikalingas kiekvienas leidimas. Skaidrumas didina pasitikėjimą ir padeda vartotojams priimti pagrįstus sprendimus dėl plėtinio diegimo ir leidimų suteikimo. Apsvarstykite galimybę rodyti vartotojams pranešimą, kuriame aprašoma, kodėl kiekvienas leidimas yra svarbus plėtinio funkcijai.

Pavyzdys: Jei plėtiniui reikalingas geolocation leidimas, paaiškinkite, kad jis naudojamas orų prognozei rodyti pagal dabartinę vartotojo buvimo vietą.

5. Įvesties tikrinimas ir valymas

Visada tikrinkite ir valykite vartotojo įvestį, kad išvengtumėte tarpvietinio scenarijų vykdymo (XSS) ir kitų saugumo pažeidžiamumų. Naršyklės plėtiniai yra ypač pažeidžiami XSS atakoms, nes jie gali vykdyti savavališką JavaScript kodą tinklalapių kontekste.

Pavyzdys: Jei plėtinys leidžia vartotojams įvesti tekstą, išvalykite įvestį, kad pašalintumėte bet kokį potencialiai kenkėjišką kodą, prieš rodydami jį vartotojo sąsajoje arba saugodami naršyklės saugykloje.

6. Turinio saugumo politika (CSP)

Įdiekite griežtą turinio saugumo politiką (CSP), kad apribotumėte turinio, kurį plėtinys gali įkelti, šaltinius. Tai gali padėti išvengti XSS atakų ir kitų saugumo pažeidžiamumų.

CSP apibrėžiama manifesto faile naudojant lauką content_security_policy:


"content_security_policy": "script-src 'self'; object-src 'none'"

Ši CSP leidžia plėtiniui įkelti scenarijus tik iš savo paties šaltinio ir neleidžia įkelti objektų iš jokio šaltinio. Pritaikykite CSP pagal konkrečius plėtinio reikalavimus, bet visada stenkitės būti kuo labiau ribojantys.

7. Reguliarūs saugumo auditai

Atlikite reguliarius plėtinio kodo saugumo auditus, kad nustatytumėte ir pašalintumėte galimus pažeidžiamumus. Saugumo auditus turėtų atlikti patyrę saugumo specialistai, susipažinę su naršyklės plėtinių saugumo geriausia praktika. Apsvarstykite automatizuotus kodo analizės įrankius, padedančius nustatyti dažniausiai pasitaikančius saugumo trūkumus.

8. Saugus ryšys

Naudokite saugius ryšio kanalus (HTTPS) visoms tinklo užklausoms, kad apsaugotumėte vartotojo duomenis nuo pasiklausymo. Venkite siųsti jautrius duomenis per nešifruotus ryšius.

9. Atnaujinkite priklausomybes

Laikykite visas trečiųjų šalių bibliotekas ir priklausomybes atnaujintas, kad ištaisytumėte saugumo pažeidžiamumus. Reguliariai tikrinkite atnaujinimus ir nedelsdami juos įdiekite.

10. Konkrečių naršyklių ypatumai

Atsižvelkite į konkrečių naršyklių leidimų tvarkymo ir API elgsenos skirtumus. Kruopščiai išbandykite plėtinį visose tikslinėse naršyklėse („Chrome“, „Firefox“, „Safari“ ir kt.), kad užtikrintumėte suderinamumą ir saugumą.

Manifesto failo pavyzdys

Pateikiame paprasto naršyklės plėtinio manifesto failo pavyzdį:


{
  "manifest_version": 3,
  "name": "My Extension",
  "version": "1.0",
  "description": "A simple browser extension",
  "permissions": [
    "activeTab",
    "storage"
  ],
  "background": {
    "service_worker": "background.js"
  },
  "content_scripts": [
    {
      "matches": ["https://example.com/*"],
      "js": ["content.js"]
    }
  ],
  "action": {
    "default_popup": "popup.html",
    "default_icon": {
      "16": "images/icon16.png",
      "48": "images/icon48.png",
      "128": "images/icon128.png"
    }
  },
  "icons": {
    "16": "images/icon16.png",
    "48": "images/icon48.png",
    "128": "images/icon128.png"
  }
}

Šis manifesto failas deklaruoja:

Plėtiniui reikalingi activeTab ir storage leidimai.
Plėtinys turi fono scenarijų, pavadintą background.js.
Plėtinys įterpia turinio scenarijų, pavadintą content.js, į example.com puslapius.
Plėtinys turi naršyklės veiksmą su iššokančia vartotojo sąsaja, apibrėžta popup.html.
Plėtinys turi skirtingų dydžių piktogramas.

Besikeičianti saugumo aplinka

Naršyklės plėtinių saugumo aplinka nuolat keičiasi. Naršyklių tiekėjai nuolat pristato naujas saugumo funkcijas ir politikas, siekdami apsaugoti vartotojus nuo kenkėjiškų plėtinių. Kūrėjai turi būti informuoti apie šiuos pokyčius ir atitinkamai pritaikyti savo kūrimo praktiką.

Pavyzdžiui, „Chrome“ „Manifest V3“ įdiegė reikšmingų pakeitimų, kaip plėtiniai sąveikauja su tinklalapiais ir tvarko tinklo užklausas. Šie pakeitimai buvo skirti pagerinti saugumą ir privatumą, tačiau taip pat pareikalavo, kad kūrėjai atnaujintų savo plėtinius, kad jie atitiktų naują API.

Įrankiai ir ištekliai

Yra keletas įrankių ir išteklių, padedančių kūrėjams kurti saugius naršyklės plėtinius:

„Chrome“ plėtinių įrankių rinkinys: Įrankių rinkinys, skirtas „Chrome“ plėtiniams kurti, derinti ir testuoti.
„Firefox“ priedų SDK: Karkasas, skirtas „Firefox“ priedams kurti.
Saugumo „linteriai“: Įrankiai, kurie automatiškai nuskaito kodą ieškodami saugumo pažeidžiamumų.
Naršyklės plėtinių saugumo kontroliniai sąrašai: Geriausios praktikos sąrašai, skirti saugiems plėtiniams kurti.
Interneto saugumo ištekliai: OWASP (Atvirų žiniatinklio programų saugumo projektas) teikia vertingų išteklių apie interneto saugumo geriausią praktiką.

Išvada

JavaScript API leidimų valdymo įsisavinimas yra labai svarbus kuriant saugius ir patikimus naršyklės plėtinius. Laikydamiesi šiame vadove aprašytos geriausios praktikos, kūrėjai gali sumažinti saugumo pažeidžiamumų riziką ir apsaugoti vartotojų privatumą. Kadangi saugumo aplinka ir toliau keičiasi, kūrėjai turi būti informuoti ir pritaikyti savo kūrimo praktiką, kad užtikrintų savo plėtinių saugumą ir vientisumą. Kuriant naršyklės plėtinius, visada prisiminkite, kad vartotojo privatumas ir saugumas yra prioritetas.

Įgyvendindami patikimas leidimų valdymo strategijas, tikrindami vartotojų įvestis, naudodami CSP ir atlikdami reguliarius saugumo auditus, kūrėjai gali sukurti naršyklės plėtinius, kurie pagerina vartotojo patirtį, kartu apsaugodami jų duomenis ir privatumą. Įsipareigojimas saugaus kodavimo praktikai užtikrina, kad naršyklės plėtiniai išliktų vertingu interneto naršymo patirties turtu, skatinančiu pasitikėjimą tarp vartotojų visame pasaulyje.