【挑战前端极限】如何在浏览器中做出一个“浏览器”

技术背景

2022年5月,Chrome推出侧边栏API,允许插件在侧边栏加载特定页面,但其灵活性远不及Edge侧边栏(例如不能直接打开ChatGPT、DeepSeek等)。为此,我们尝试在Chrome侧边栏中实现一个真正的"浏览器" ------ Anything Copilot


核心挑战与解决方案

1. iframe 的"封印":CSP 与 X-Frame-Options

常规方案中,网页或插件若想嵌入其他页面,只能依赖iframewebview仅限App使用)。但现实很残酷:

  • X-Frame-Options :通过DENYSAMEORIGIN限制页面被嵌入
  • CSP 策略 :通过frame-ancestors控制父级页面来源
    绝大多数网站(如GitHub、Twitter)会通过上述机制阻止被嵌入。

安全优先的破解思路

  • 静态资源探测

    发现部分网站的/robots.txt/sitemap.xml等非HTML资源未设置CSP策略,通过以下步骤绕过限制:

    1. iframe中加载允许嵌入的静态资源
    2. 通过history.replaceState修改URL路径
    3. 使用document.write重写页面内容
      此方案对约60%的网站有效,但路径探测成本较高。
  • 精准 Header 拦截

    使用chrome.declarativeNetRequestAPI动态移除Content-Security-PolicyX-Frame-Options头,但需严格限制作用范围:

    javascript 复制代码
    chrome.declarativeNetRequest.updateDynamicRules({
      addRules: [{
        id: 1,
        action: {
          type: "modifyHeaders",
          responseHeaders: [
            { header: "Content-Security-Policy", operation: "remove" },
            { header: "X-Frame-Options", operation: "remove" }
          ]
        },
        condition: {
          tabIds: [-1],  // 仅作用于侧边栏
          initiatorDomains: ["your-extension-id"]
        }
      }]
    });

    该方案平衡了功能与安全性,最终覆盖了90%以上的网页。


2. 无法逾越的鸿沟:window.top 检测

即便破解了CSP,仍有部分页面因检测window.top导致崩溃:

javascript 复制代码
// 页面中的防御代码
if (window.top !== window.self) {
  throw new Error("不允许嵌入!");
}

尝试过的方案

  • window.top = window 无效
  • Object.defineProperty(window, 'top', { get: () => window }) 无效
  • __defineGetter__, prototype 也无效

成果与反思

基于上述方案,我们最终实现了:

多标签页管理

页面缩放/搜索

地址栏与快捷键支持

项目上线后积累了近万活跃用户,灵活强大的侧边栏给日常的高效学习工作带来了无限可能。


致开发者

如果你:

  • 发现更优雅的window.top破解方案
  • 对Chrome插件的安全边界有深入研究

欢迎在评论区交流!完整技术实现参见 GitHub - Anything Copilot,期待你的Star与PR!

相关推荐
翻滚吧键盘18 分钟前
vue绑定一个返回对象的计算属性
前端·javascript·vue.js
秃了也弱了。36 分钟前
Chrome谷歌浏览器插件ModHeader,修改请求头,开发神器
前端·chrome
乆夨(jiuze)1 小时前
记录H5内嵌到flutter App的一个问题,引发后面使用fastClick,引发后面input输入框单击无效问题。。。
前端·javascript·vue.js
忧郁的蛋~1 小时前
HTML表格导出为Excel文件的实现方案
前端·html·excel
小彭努力中1 小时前
141.在 Vue 3 中使用 OpenLayers Link 交互:把地图中心点 / 缩放级别 / 旋转角度实时写进 URL,并同步解析显示
前端·javascript·vue.js·交互
然我2 小时前
别再只用 base64!HTML5 的 Blob 才是二进制处理的王者,面试常考
前端·面试·html
NanLing2 小时前
【纯前端推理】纯端侧 AI 对象检测:用浏览器就能跑的深度学习模型
前端
呆呆的心2 小时前
前端必学:从盒模型到定位,一篇搞定页面布局核心 🧩
前端·css
小飞悟2 小时前
前端高手才知道的秘密:Blob 居然这么强大!
前端·javascript·html
小old弟2 小时前
用Sass循环实现炫彩文字跑马灯效果
前端