Dada una extensión del navegador que envía información de una página web a un servidor completamente diferente, ¿está violando la misma política de origen?¿Cómo se aplica la Política de Same Origin a las extensiones del navegador?
La política del mismo origen (SOP) se aplica a las páginas web normales, no a las extensiones del navegador, incluso si están escritas en JavaScript. ¿Qué significa "servidor diferente" cuando el código de extensión no proviene de un servidor? (La secuencia de comandos de extensión puede tener algún tipo de orgin, como chrome-extension://longhashidentificationstr, pero no un dominio/origen tradicional.) Para comunicarse con cualquier página web (excepto las que tienen CORS headers), la extensión no puede vincularse con el SOP.
Las extensiones no "violan" exactamente el SOP; en cambio, el SOP no aplica a ellos. El SOP está diseñado para limitar el daño que puede ser causado por una página web comprometida o maliciosa. La visualización de una página web debería requerir confianza cero en la página, ya que es muy fácil visitar una página web. Sin embargo, la instalación de una extensión es algo que los usuarios hacen con menos frecuencia y tiene un mayor impacto en el usuario, por lo que no es irracional requerir cierta confianza en la extensión.