新版edge浏览器强制推行manifest v3规范,禁用远程代码加载、改用运行时权限申请、限制内容脚本跨源请求、保留webrequest但推荐declarativenetrequest,并支持双manifest版本并行。
如果您正在使用新版Microsoft Edge浏览器并尝试安装或更新扩展插件,可能会遇到因Manifest V3规范变化导致的功能异常或兼容性问题。以下是针对新版Edge插件Manifest V3规范变化与兼容性的具体说明:
一、Manifest V3对远程托管代码的禁用
新版Edge强制要求所有扩展代码必须在提交时完整打包,禁止运行时加载远程托管的脚本或资源,以提升扩展验证的可信度和运行时安全性。该限制适用于所有通过Microsoft Edge Add-ons分发的扩展。
1、检查扩展源码中是否存在通过fetch、XMLHttpRequest或eval动态加载外部JS/CSS的行为。
2、将所有远程脚本内容内联至扩展包中,或改用沙盒iframe配合eval()执行(需在manifest.json中声明sandbox属性)。
3、在webpack.config.js等构建配置中移除动态import()指向CDN的路径,替换为本地静态资源引用。
二、运行时主机权限的动态控制机制
新版Edge不再允许扩展在安装阶段一次性申请“all_urls”等宽泛权限,而是采用运行时逐网站授权模型,增强用户对隐私与安全的掌控力。
1、修改manifest.json,移除"permissions": ["all_urls"]字段。
2、在需要访问特定网站时,调用chrome.permissions.request()请求对应origin的权限。
3、在popup或options页面中添加显式授权提示UI,引导用户点击“允许访问此网站”按钮。
三、内容脚本跨源请求的隔离限制
新版Edge要求内容脚本必须遵循同源策略,禁止直接向非注入页面所属域发起跨源请求,防止绕过CORS机制的安全风险。所有跨源通信必须经由背景服务工作线程中转。
1、识别当前内容脚本中调用fetch或XMLHttpRequest访问第三方API的代码段。
2、将该逻辑迁移至background/service-worker.js中,并通过chrome.runtime.sendMessage()向内容脚本发送请求指令。
3、在background脚本中使用chrome.webRequest或chrome.declarativeNetRequest API处理响应后,再通过chrome.tabs.sendMessage()将结果回传。
四、Web Request API的保留与替代方案
新版Edge明确表示继续支持webRequest API的blocking功能,但仅限于已启用“webRequestBlocking”权限且通过审核的广告拦截类扩展,同时鼓励迁移至declarativeNetRequest API以获得更高性能。
1、确认manifest.json中已声明"permissions": ["webRequest", "webRequestBlocking", "declarativeNetRequest"]。
2、对简单规则(如域名屏蔽、资源类型过滤),改用chrome.declarativeNetRequest.updateDynamicRules()定义静态规则集。
3、对需动态决策的复杂场景(如基于响应头重写),保留在background中使用chrome.webRequest.onBeforeRequest.addListener()监听并阻断。
五、双Manifest版本并行支持策略
新版Edge允许开发者同时提供manifest-mv2.json与manifest-mv3.json两个清单文件,在构建流程中依据目标环境自动选择适配版本,确保旧版功能不中断的同时逐步过渡到V3标准。
1、在项目根目录下分别维护manifest-mv2.json(含background.html、persistent:true)与manifest-mv3.json(含background.service_worker字段)。
2、修改webpack.config.js,在build命令中根据--mv2或--mv3参数切换输出路径及资源注入逻辑。
3、在Microsoft Partner Center提交时,为同一扩展ID上传两套独立的.zip包,并在描述中标注适用的Manifest版本及Edge最低支持版本。
