当前位置：首页 > 行业动态 > 正文

ContentJS注入，如何实现与防范？

admin
行业动态
2025-01-20
2879

ContentJS 是一种通过 JavaScript 代码注入内容的技术，常用于网页自动化和数据抓取。

Content JS注入是一种在网页中运行JavaScript代码的技术，主要用于扩展浏览器功能或修改网页内容，通过这种方式，开发者可以增强用户浏览体验，实现自定义功能。

ContentJS注入，如何实现与防范？第1张

Content JS注入的基本概念

Content Scripts是运行在Web页面的上下文中的JavaScript文件，它们通过标准的DOM操作，能够读取并修改当前访问的Web页面的内容，这些脚本通常用于以下场景：

1、修复无效链接：自动检测并修复网页中的无效链接。

2、字体调整：增大字体以改善可读性。

3、数据处理：查找并处理DOM中的microformat数据。

Content JS注入的使用限制

尽管功能强大，但Content Scripts有一些使用限制：

1、无法访问Chrome API：不能直接访问如chrome.extension、chrome.i18n等Chrome扩展API。

2、独立执行环境：Content Scripts运行在一个隔离的环境中，称为isolated world，与网页的JavaScript彼此独立，无法直接访问网页中的JavaScript变量和函数。

3、通信机制：尽管不能直接访问Chrome API，但可以通过Chrome的消息传递机制间接调用这些API。

注入方式

Content Scripts可以通过两种方式注入：

1、静态声明：在manifest.json文件中声明content_scripts，指定要匹配的网页和要注入的文件。

   {
     "name": "My extension",
     "content_scripts": [
       {
         "matches": ["https://example.com/*"],
         "js": ["content-script.js"]
       }
     ]
   }

2、动态注入：通过编程方式在特定事件发生时注入Content Scripts，通过chrome.tabs.executeScript方法动态注入脚本：

   chrome.browserAction.onClicked.addListener(function(tab) {
     chrome.tabs.executeScript(tab.id, {file: "content_script.js"});
   });

示例代码

以下是一个简单的示例，展示如何在网页加载完成后修改网页标题并插入一个元素：

window.addEventListener('load', () => {
  // 修改网页标题
  document.title = 'Hello, Content Script!';
  // 在网页上插入一个元素
  const div = document.createElement('div');
  div.textContent = 'This is a Content Script.';
  document.body.appendChild(div);
  // 发送消息给插件的后台页面
  chrome.runtime.sendMessage({ message: 'Hello from Content Script!' });
});
// 监听来自插件的消息
chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
  console.log('Received message:', message);
});

FAQs

Q1: Content Scripts能访问哪些Chrome API？

A1: Content Scripts只能访问有限的几种Chrome API，包括dom、i18n、storage、runtime.connect()、runtime.getManifest()、runtime.getURL()、runtime.id、runtime.onConnect、runtime.onMessage和runtime.sendMessage()。

Q2: 如何确保Content Scripts在网页完全加载后执行？

A2: 可以将Content Script的run_at属性设置为"document_idle"，这样脚本会在DOM和资源完全加载完毕后执行。