[-GC-] 有人在關切 manifest V3 嗎

看板Browsers (瀏覽器)作者danny0838 (道可道非常道)時間3年前 (2021/01/21 23:31)推噓12(12推 0噓 8→)

留言20則, 13人參與討論串1/3 (看更多)

所謂 Manifest V3 就是新版的擴充功能規格， Manifest V3 上線以後可能有一天會停止支援 Manifest V2，屆時舊的擴充功能都必須改寫為 Manifest V3 規格才能使用。 BUT...程序猿生最麻煩的就是這個 BUT... 不是所有 Manifest V2 支援的功能都保證能在 Manifest V3 繼續使用... Chromium 88 版開始提供 Manifest V3： https://developers.google.com/web/updates/2021/01/nic88 目前沒設定停止支援 Manifest V2 的明確日期，有資訊說可能在 Manifest V3 正式推出的一年內： http://bit.ly/2LRtTVe 官方 Manifest V3 規格資訊： https://developer.chrome.com/docs/extensions/mv3/intro/mv3-migration/ 此頁提到的幾個重點改變： 1. 拿掉 background page，改用 service worker service worker 雖然和 background script 差不多，但有個問題是 service worker 沒有 window、document 相關的 API，如果套件要在背景計算 DOM 資訊可能會需要改寫成複雜的 message passing... 2. 拿掉 blocking webRequest API，改用 declarativeNetRequest API declarativeNetRequest 提供一套定義是否放行 web request 的規則集，但是有規則上限等限制，不如以往的 blocking webRequest API 自由。 declarativeNetRequest API: http://bit.ly/39V0dP8 社群回饋和各種功能缺陷的抱怨： http://bit.ly/3a0FGse 一個很大的影響是 uBlock Origin 之類的廣告封鎖套件可能死掉或半殘。官方目前說強制安裝的套件仍允許使用 blocking webRequest API。強制安裝需要更動系統設定（需要管理員權限），寫入要強制安裝的套件 ID，然後系統上所有使用者 Chrome 中的所有帳號都會強制從商店安裝指定的套件，無法移除或停用。設定方式可參見：http://bit.ly/3oba1to 強制安裝會衍生出不少麻煩，除了需要管理員權限和所有使用者都受影響以外，開發測試也會變得極為麻煩，因為不能直接載入測試套件，一定要先在 Chrome 商店上架才能強制安裝，問題是測試中的套件誰有那個美國時間去寫那些上架要求的隱私權原則等等啊XD 3. manifest CSP 對 script-src, object-src, worker-src directives 限制更嚴這幾個值以後只能使用 self, none 和 localhost 一個很大的影響是套件不再能用類似 <script src="" rel="nofollow">http://example.com/myscript.js"> 之類的方式載入遠端腳本，所有程式碼都必須直接寫在套件裡，或是改把程式放在遠端伺服器執行。套件也無法載入遠端的互動式 SVG、Java applet、Flash 等元件。 4. 禁止 chrome.tabs.executeScript 參數用「code」執行程式碼文字此外，content script 也禁止執行 eval 類函數（Manifest V2 可以）補充一下，content script 在 DOM 插入 script 元素時， script 似乎是視為在 content script（而不是 page script）執行所以在 content script 執行類似以下腳本的方式也是不通： var s = document.createElement('script'); s.innerText = "alert('test');"; document.body.appendChild(s); 看起來就是封死一切在 content script 執行任意自訂腳本的可能性。一個很大的影響是 XXXMonkey 之類的套件可能會因此死掉... 其他細節就有待各位先進一起研究研究了，看看 Chromium 還值不值得開發者努力...... -- 《終結內容農場》瀏覽器套件 Chrome: http://bit.ly/CFTGC Firefox: http://bit.ly/CFTFx (桌機 & Android 手機) 真相1: http://bit.ly/CFTss1 真相2: http://bit.ly/CFTss2 詳細介紹：http://bit.ly/CFTinfo -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.16.163 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1611243086.A.55C.html ※ 編輯: danny0838 (1.164.16.163 臺灣), 01/21/2021 23:33:18

推

zhtw

01/21 23:49, 3年前 , 1^F

01/21 23:49, 1^F

果然只剩吞下去和跳槽兩個選擇嗎？...... ※ 編輯: danny0838 (1.164.16.163 臺灣), 01/21/2021 23:54:45

→

Altair

01/22 11:56, 3年前 , 2^F

01/22 11:56, 2^F

88版還有繼續支援V2，應該不會是這個原因

推

aza0290

01/22 12:17, 3年前 , 3^F

01/22 12:17, 3^F

推

choosin

01/22 15:23, 3年前 , 4^F

01/22 15:23, 4^F

※ 編輯: danny0838 (1.164.16.43 臺灣), 01/22/2021 17:21:36

推

Kenqr

01/22 23:51, 3年前 , 5^F

01/22 23:51, 5^F

根據目前的資訊，擋廣告套件要嘛是功能被大大削弱，要嘛是需要強制安裝... 猴子系統應該是完蛋了... 不過我以前就一直覺得猴子類套件是踩邊球的東西。就 Google 的角度而言，允許瀏覽器直接執行他們無法管控的外部腳本是有安全疑慮的... 如果那些外部腳本有惡意程式碼怎麼辦... 相對地，那些腳本都可以改寫成獨立的擴充套件，個別把關審核，或許才是比較合理的。

推

Rplus

01/23 00:12, 3年前 , 6^F

01/23 00:12, 6^F

推

GrandPrix

01/23 02:03, 3年前 , 7^F

01/23 02:03, 7^F

PTTChrome 的問題是它是 Chrome Apps 而非 Chrome Extensions 架構，而 Google 很早就說要停掉 Chrome Apps 了... 這是另一個故事，和 MV3 無關...

→

Rplus

01/23 04:24, 3年前 , 8^F

01/23 04:24, 8^F

推

Toge

01/23 12:29, 3年前 , 9^F

01/23 12:29, 9^F

→

Toge

01/23 12:31, 3年前 , 10^F

01/23 12:31, 10^F

所謂外連script是讓瀏覽器直接執行外部程式碼，擋廣告套件不需要如此。頂多有些是載入外部規則集（文字檔），然後用內部程式碼解析和處理擋廣告。所以擋廣告套件和外連script基本上沒什麼關係。 Google CDN/tracker 一般是讓網頁本身的腳本（page script）載入外部程式碼， MV3 只是禁止套件載入外部程式碼，並沒有禁止網頁載入外部程式碼。如果套件需要用到 CDN 的程式碼，直接下載下來包進套件裡就好。 ※ 編輯: danny0838 (1.164.16.43 臺灣), 01/23/2021 15:02:02

推

LastAttack

01/23 18:09, 3年前 , 11^F

01/23 18:09, 11^F

我看不懂你的點XD Edge可以從自家或Chrome商店安裝套件和相容機率降低的關係是什麼？o_O ※ 編輯: danny0838 (114.136.25.137 臺灣), 01/23/2021 19:45:43

推

LastAttack

01/24 18:24, 3年前 , 12^F

01/24 18:24, 12^F

→

LastAttack

01/24 18:25, 3年前 , 13^F