Angesichts einer Browsererweiterung, die Informationen von einer Webseite an einen völlig anderen Server sendet, verletzt dies die gleiche Ursprungsrichtlinie?Wie gilt die gleiche Ursprungsrichtlinie für Browsererweiterungen?
Die Richtlinie für denselben Ursprung (SOP) gilt für normale Webseiten, nicht für Browsererweiterungen, auch wenn sie in JavaScript geschrieben sind. Was bedeutet "anderer Server", wenn der Erweiterungscode nicht von einem Server stammt? (Das Erweiterungsskript kann eine Art Ursprung haben, wie chrome-extension://longhashidentificationstr, aber keine traditionelle Domäne/Ursprung.) Zur Kommunikation mit beliebigen Webseiten (außer denen, die CORS headers haben), kann die Erweiterung nicht durch die SOP gebunden werden.
Erweiterungen "verletzen" nicht genau die SOP; stattdessen gilt die SOP nicht zu ihnen. Die SOP soll Schäden begrenzen, die durch eine kompromittierte oder bösartige Webseite verursacht werden können. Das Anzeigen einer Webseite sollte Zero Trust in der Seite erfordern, da es so einfach ist, eine Webseite zu besuchen. Die Installation einer Erweiterung wird jedoch weniger häufig durchgeführt und hat größere Auswirkungen auf den Benutzer. Daher ist es nicht unangemessen, Vertrauen in die Erweiterung zu verlangen.