AddOn und CSP?

DAUFahnder

Zitat von DAUFahnder

Interesse ist nicht das Problem ;). Eigentlich auch nicht mein Englisch, auch wenn ich natürlich Deutsch bevorzuge. Aber Zeit... man muss ja von irgendetwas seine Rechnungen bezahlen :cry:

So schnell kanns gehen...

Sören, du hattest recht, das geht leichter als ich dachte.

OK, meine Erweiterung ist nur für einen sehr kleinen Personenkreis nützlich und rein rechtlich darf ich die ohnehin nie verbreiten weil Wetter.com wohl ein Problem damit hätte wie ich das umgesetzt habe, aber es funktioniert. Das Ding zeigt auf Klick das Wetter von wetter.com für mein kleines Heimatstädtchen im Popup an.

Aber vielleicht kann mir ja jemand helfen: Mein AddOn funktioniert nur, weil ich
extension.webextensions.default-content-security-policy
geleert habe. Das ist natürlich keine Lösung, aber ansonsten gab es permanent den Fehler das Scripte nicht auf _self zugreifen dürfen.

die manifest.json:

Code

{
	"manifest_version": 2,
	"name": "Wetter.com",
	"short_name": "Wetter.com",
	"description": "Wetter.com fuer *Heimatstadt*",
	"author": "test",
	"version": "1.0",
	"minimum_chrome_version": "60",


	"icons": {
		"32": "skin/logo32.png"
	},
	"browser_action": {
		"default_title": "Wetter *Heimatstadt*",
		"default_icon": "skin/logo32.png",
		"default_popup": "content/popup.html"
	},
	"web_accessible_resources": [
		"/skin/*"
	],
	"content_scripts": [
		{
		"matches": [ "<all_urls>" ],
		"all_frames" : true,
		"js": ["/content/w.js"]
		},
		{
		"js": [ "/content/w.js" ],
		"matches": [ "<all_urls>" ],
		"run_at": "document_start"
		},
		{
			"matches": [ "<all_urls>" ],
			"all_frames" : true,
			"js": ["/content/w.js"]
		}
	],

	"permissions": [
		"activeTab",
		"tabs",
		"storage",
		"webRequest",
		"webRequestBlocking", 
		"http://*/*",
		"https://*/*",
		"<all_urls>"
	]
}

Alles anzeigen

die popup.html:

HTML

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
	<head>
		<title>Wetter.com Widget</title>
		<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <script type="text/javascript" src="/content/w.js" charset="utf-8"></script>
    <style>
    html {height: 251px;}
    body {height: 251px; width: auto; overflow: hidden; background-color: silver;}
    .wcom-default a,.wcom-default div,.wcom-default img {border:0;margin:0;padding:0;float:none;clear:none;outline:0;font:inherit;font-size:100%;vertical-align:baseline;width:auto;height:auto;position:static;display:inline;line-height:normal;text-decoration:none}
    .wcom-default div{display:block}
    .wcom-default{font-family:Verdana, Geneva, sans-serif;overflow:hidden;position:relative;box-sizing:content-box !important}
    .wcom-city{max-height:28px !important;overflow:hidden}
    .wcom-city,.wcom-city a{font-size:15px;text-align:center;margin-bottom:5px;text-decoration:none}
    .wcom-city a:hover{text-decoration:none}
    .w300x250{font-size:11px; padding:10px !important; width:280px !important; height:230px !important}
    .w300x250 .wcom-city{max-height:18px !important;overflow:hidden}
    #wcom-1-wetter {padding: 0px !important; margin: 0px !important}
    </style>
	</head>
<body>
  <div id="wcom-1" class="wcom-default w300x250" style="border: 0px; background-color: silver; border-radius: 5px">
    <div id="wcom-1-wetter"></div>
    <script>_wcomWidget({id: 'wcom-1',location: '*Heimatstatd',format: '300x250',type: 'summary'});</script>
  </div>
</body>


</html>

Alles anzeigen

und die w.js:

Code

// die Scripte sind alle von Wetter.com vorgegeben, bis auf clean()!


var _wcomDefault={id:"wcom-1",location:"DE0001020",format:"300x250",type:"summary"};
function _wcomOps(){
  for(var key,obj={},al=arguments.length,i=0;al>i;i++)for(key in arguments[i])arguments[i].hasOwnProperty(key)&&(obj[key]=arguments[i][key]);return obj
}

function _corsRequest(method,url){
  var xhr=new XMLHttpRequest;
  return"withCredentials"in xhr?xhr.open(method,url,!0):"undefined"!=typeof XDomainRequest?(xhr=new XDomainRequest,xhr.open(method,url)):xhr=null,xhr
}


function _wcomRequest(settings){
  var parent=(document.getElementById("wcom-1"));
  var container=document.getElementById("wcom-1-wetter");
  var url="https://www.wetter.com/apps_und_mehr/website/ajaxwidget/";
  var response="";
  var xhttp=_corsRequest("GET",url);
  settings.before&&"function"==typeof settings.before&&(void 0!==container&&(container.innerHTML=""),settings.before()),null!==xhttp?(xhttp.setRequestHeader("X-Requested-With","XMLHttpRequest"),xhttp.setRequestHeader("X-Widget-Id",settings.id),xhttp.setRequestHeader("X-Widget-Location",settings.location),xhttp.setRequestHeader("X-Widget-Format",settings.format),xhttp.setRequestHeader("X-Widget-Type",settings.type),xhttp.onreadystatechange=function(){4==this.readyState&&200==this.status&&(response=this.responseText)},xhttp.onloadend=function(){void 0!==container&&(container.innerHTML=clean(response)),settings.complete&&"function"==typeof settings.complete&&settings.complete()},xhttp.send(null)):settings.complete&&"function"==typeof settings.complete&&settings.complete();
  var link=parent.getElementsByTagName("a");
  return link.length&&link[0].setAttribute("rel","nofollow"),response
}
function _wcomWidget(options){
  var settings=_wcomOps(_wcomDefault,options);
  _wcomRequest(settings)
}


// Werbung aus dem Antwort-String entfernen... daher nicht für Veröffentlichung bestimmt!
function clean(string) {
  var n = string.indexOf('<div style="clear:');
  var kurz = string.slice(0,n);
  var neu = kurz + "</div> <div style='position: fixed; bottom: 1px; left: 1px;'>Wetter*Heimatstadt*</div>";
  return neu.replace(/src="\/\//g, 'src="http://');
}

Alles anzeigen

Mehr Dateien sind es nicht. Da wo *Heimatstadt* steht, sind die entsprechenden Namen bzw die Wetter.com-ID hinterlegt, ich denke mal nicht, dass das irgendwer braucht ;).

Falls jemand die richtige Suchrichtung kennt in die er mich treten könnte, um das SCP-Problem zu lösen.. Danke

EffPeh

Ich weiss nicht, ob es die richtige Richtung ist, aber ich würde mir das mal anschauen:
https://developer.mozilla.org/en-US/Add-ons/…Security_Policy
bzw.
https://developer.mozilla.org/en-US/Add-ons/…security_policy

Und wenn du deine Extension als ZIP hier anhängst, ist es bequemer, das mal schnell zu testen.

Sören Hentzschel

Der CSP-Fehler hängt mit der Zeile hier zusammen:

Code

_wcomWidget({id: 'wcom-1',location: '*Heimatstatd',format: '300x250',type: 'summary'});

JavaScript gehört nicht in HTML-Dateien, sondern in JavaScript-Dateien. Schiebe das also in die Datei w.js. Weil du die Zeile natürlich erst ausführen möchtest, wenn das HTML bereit ist (weil es sonst nicht funktionieren wird), muss das so aussehen:

Code

document.addEventListener('DOMContentLoaded', () => {
  _wcomWidget({id: 'wcom-1',location: 'DE0001020',format: '300x250',type: 'summary'});
});

Prüfe bitte auch deine Berechtigungen. Du brauchst ganz sicher nicht alle Berechtigungen, die du da verlangst und beim Thema Berechtigungen sollte man einen Minimal-Ansatz wählen: nur verlangen, was auch gebraucht wird.

Code

"activeTab",
"tabs",
"storage",
"webRequest",
"webRequestBlocking",
"http://*/*",
"https://*/*",
"<all_urls>"

"http://*/*" und "https://*/*" sind überflüssig, wenn du bereits "<all_urls>" verwendest, aber wenn du nur wetter.com abfragst, solltest du auch nur dafür die Berechtigung verlangen und nicht pauschal für alle Webseiten. Die Storage-API verwendest du nicht, also brauchst du die Berechtigung auch nicht. Ich hab die anderen Berechtigungen jetzt nicht kontrolliert.

Ergänze innerhalb von "browser_action" außerdem noch folgende Zeile:

Code

"browser_style": false

false ist zwar der Standard-Wert, wenn du nichts angibst, daher macht es keinen funktionalen Unterschied, aber wenn du das nicht explizit angibst, wird es als Warnung in der Browserkonsole geloggt, dass du das angeben sollst.

DAUFahnder

Zitat von EffPeh

Ich weiss nicht, ob es die richtige Richtung ist, aber ich würde mir das mal anschauen:
https://developer.mozilla.org/en-US/Add-ons/…Security_Policy
bzw.
https://developer.mozilla.org/en-US/Add-ons/…security_policy

BINGO, Dank dir Ich hatte mich schon dusselig gesucht. Aber scheinbar mit den falschen Suchbegriffen.

Zitat

Und wenn du deine Extension als ZIP hier anhängst, ist es bequemer, das mal schnell zu testen.

Naja... das Problem ist da wie gesagt, dass die Extension in der Form nicht verbreitet werden DARF. Ich missbrauche den Widget-Code von Wetter.com. Dazu verändere ich auch noch den String der als Antwort vom Server kommt, weil das Widget eigentlich ein Script anspricht dass schon auf dem dortigen Server liegt und URLs ohne dass HTTP: aber mit // ausgibt. Und zu guter Letzt werfe ich auch noch die Eigenwerbung von wetter.com aus dem Ergebnis. Ich glaube nicht dass Wetter.com sich über Tests in diesem Forum ärgern würde, aber rein rechtlich müsste Sören das AddOn ohnehin wieder entfernen sobald er davon Kenntnis erlangt. Also ziemlich nutzlos...

DAUFahnder

Zitat von Sören Hentzschel
[...]
JavaScript gehört nicht in HTML-Dateien, sondern in JavaScript-Dateien. Schiebe das also in die Datei w.js. Weil du die Zeile natürlich erst ausführen möchtest, wenn das HTML bereit ist (weil es sonst nicht funktionieren wird), muss das so aussehen:
Code
document.addEventListener('DOMContentLoaded', () => {
  _wcomWidget({id: 'wcom-1',location: 'DE0001020',format: '300x250',type: 'summary'});
});

Das mit dem Laden in der w.js hatte ich getestet, aber den EventListener natürlich vergessen. Dank Dir :klasse: .

Zitat

Prüfe bitte auch deine Berechtigungen. Du brauchst ganz sicher nicht alle Berechtigungen, die du da verlangst und beim Thema Berechtigungen sollte man einen Minimal-Ansatz wählen: nur verlangen, was auch gebraucht wird.

Dank Dir. Ich habe eine manifest.json einer anderen Erweiterung als Ansatzpunkt genutzt und das dann nicht weiter geändert bzw gekürzt sobald ich dachte alles zu haben.

Zitat
Ergänze innerhalb von "browser_action" außerdem noch folgende Zeile:
Code
"browser_style": false
false ist zwar der Standard-Wert, wenn du nichts angibst, daher macht es keinen funktionalen Unterschied, aber wenn du das nicht explizit angibst, wird es als Warnung in der Browserkonsole geloggt, dass du das angeben sollst.

Ah, daher kam die Meldung. Ich hatte mich schon gefragt woher die kam. Da es aber sonst keinerlei Auswirkungen zu haben schien, hab ich das ignoriert.

Ich sage mal dickes Danke für die Hilfe. Und da ich jetzt weiss wie es grundsätzlich funktioniert kann ich ja vielleicht mal mein Wunschprojekt in Angriff nehmen. Das wird aber einige Wochen oder eher Monate dauern, da ich da wirklich alles von Grund auf Neu bauen muss. Und ich muss auch gucken, ob Webextensions die nötigen Rechte überhaupt haben.

Nochmals Danke!