实际上，他们甚至不必将 JavaScript 注入到主页中。扩展程序可能需要权限才能向某些网站发出跨域请求，请参阅https://developer.chrome.com/extensions/xhr。他们甚至可以使用该<all_urls>权限来获得所有网站的跨域访问权限。这不是安全漏洞，因为您必须手动安装扩展程序并授予安装权限，从而使您对发生的任何事情负责。