每当我尝试从我的 Chrome 扩展程序的 background.js 发送 POST 请求时,我都会收到 403 Forbidden 错误。如果我在我的 Chrome 扩展之外执行相同的代码,它会正常工作。我的 API 不需要任何身份验证。
请求码:
let formData = new FormData();
formData.append('message', "This is a test message.");
fetch('https://myapi.com/add', {
body: formData,
method: "post"
}).then(r => console.log(r));
请求响应:
我还检查了我的 Apache 2 access.log,一切看起来都很正常:
x.x.x.x - - [13/Sep/2020:17:02:30 +0000] "POST add HTTP/1.1" 403 581 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36"
是否有任何可能阻止我的请求的 Chrome 扩展程序政策?
我是否需要向我的 manifest.json 添加任何特殊权限?
我是否需要对我的 API 进行任何更改(将此作为保留,因为它在 Chrome 扩展程序之外正常工作)?
最佳答案
Edit: Read your server logs. The server is probably telling you exactly what the error is. Make sure debugging is enabled.
403 错误并不是没有充分理由就真正从服务器发出的——而且这个原因通常是特定于您的应用程序的。 403 通常是权限问题:我们知道你是谁,但你无权做你想做的事。
可能存在(或缺失) header ,阻止请求进行任何更改(在您的情况下为 POST 请求)。例如,您的服务器可能正在设置 cookie 以防止 CSRF 攻击。很多时候服务器不会验证 GET 请求的 token ,这可以解释为什么 GET 请求适用于您的情况但不适用于 POST 请求。
如果你能搜索到你的服务器代码,我愿意有这样的伪代码:
if (requestIsMissingCSRFToken()) {
throw new Error(STATUS.FORBIDDEN)
}
编辑:一些相关链接
关于javascript - 来自 Chrome 扩展的获取请求导致 403 Forbidden,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63873773/