¿De qué manera el complemento ADVANCED REST CLIENT de Google Chrome realiza solicitudes POST de dominio cruzado? Pensé que tal vez algo con CORS pero no veo "Access-Control-Allow-Origin" en ninguna respuesta. Este es un enlace al plugin:¿Cómo hace el cliente REST avanzado de Google Chrome solicitudes de POST de dominio cruzado?
https://chrome.google.com/webstore/detail/hgmloofddffdnphfgcellkdfbfbjeloo/related?hl=en-US
Respuesta corta: Las extensiones son diferentes de las páginas web normales. Pueden solicitar permisos adicionales durante el proceso de instalación.
(levemente) Respuesta larga: El requisito principal de los complementos/extensiones es que pueden acceder a diferentes dominios. Pueden solicitar un permiso adicional durante la instalación (normalmente, se advierte al usuario que la extensión puede acceder a los datos en esos dominios).
Eche un vistazo al archivo manifest.json de la extensión de la que está hablando. Más específicamente:
"permissions": [
"<all_urls>", "cookies", "history"
]
Gracias! ¡Esto está muy bien! Ahora quiero construir una extensión de Chrome. Supongo que debido a que Google tiene cierto control sobre las extensiones y se requiere que el usuario otorgue el permiso, el xss no se considera un riesgo de seguridad como lo es en los sitios web. –