NPAPI 插件

利用 HTML 与 JavaScript 使您开发新的扩展程序变得非常容易,但是如果您有现存的遗留代码或专有代码,并且希望在您的扩展程序中重用,那该怎么办?您可以将 NPAPI 插件和您的扩展程序一起打包,使您可以从 JavaScript 中调用本机二进制代码。

警告

NPAPI 将要淘汰,请考虑使用其他替代方式。

NPAPI 应该尽可能地避免,除非没有其他任何可行的方式。

运行在NPAPI插件中的代码拥有当前用户的所有权限,不在沙箱中运行,对于恶意的输入不受到 Google Chrome 浏览器的任何保护。您在处理来自不受信任来源的输入时应当尤其小心(例如与XMLHttpRequest 一起使用时)。

由于 NPAPI 可能会给用户带来额外的安全风险,使用它的扩展程序在被 Chrome 网上应用店接受前要求人工审核。

详情

如何开发 NPAPI 插件的内容不在本文档的范围内,有关信息请参见 Mozilla 的 NPAPI 插件参考(英文)。

一旦您开发好了 NPAPI 插件,请遵循以下步骤让您的扩展程序使用它。

  1. 在您的扩展程序的 manifest.json 文件中添加一部分内容,描述插件的位置及其他有关属性:
    {
      "name": "我的扩展程序",
      ...
      "plugins": [
        { "path": "extension_plugin.dll" }
      ],
      ...
    }
    

    "path" 属性指定插件的路径,相对于清单文件。"public" 属性指定普通的网页能否访问您的插件,默认为 false,只有您的扩展程序才能加载插件。添加 "public": true 可以使您的插件能够在普通网页和内容脚本中访问,但是一定要小心,任何网页都能调用您的插件。

  2. 创建一个 HTML 文件,通过 MIME 类型加载您的插件。假定您的 MIME 类型为 "application/x-my-extension":
    <embed type="application/x-my-extension" id="pluginId">
    <script>
      var plugin = document.getElementById("pluginId");
      var result = plugin.myPluginMethod();  // 调用您的插件中的方法
      console.log("我的插件返回了:" + result);
    </script>

    这些代码可以放在后台页面或者您的扩展程序使用的其他任何 HTML 页面中。如果您的插件是公共("public")的,您甚至可以使用内容脚本通过编程方式向网页中插入您的插件。

安全性考虑

在您的扩展程序中包含 NPAPI 插件是危险的,因为插件对本地计算机的访问不受限制。如果您的插件包含漏洞,攻击者可能会利用漏洞在用户的计算机上安装恶意软件。所以要尽可能地避免使用 NPAPI 插件。

将您的 NPAPI 插件标记为公共的("public")增加了您的扩展程序受到攻击的可能性,因为插件直接暴露在网页内容中,使得恶意网站更容易操纵您的插件。所以尽可能不要将您的 NPAPI 插件标记为公共的。