webRequest.onAuthRequired
Wird ausgelöst, wenn der Server einen 401- oder 407-Statuscode und einen WWW-Authenticate-Header mit dem Basic-Schema sendet (d.h. wenn der Server den Client auffordert, Authentifizierungsdaten bereitzustellen, wie z. B. einen Benutzernamen und ein Passwort).
Der Listener kann auf eine von vier Arten reagieren:
- Keine Aktion durchführen
-
Der Listener kann nichts tun und lediglich die Anfrage beobachten. Wenn dies geschieht, hat es keinen Einfluss auf die Bearbeitung der Anfrage und der Browser fordert den Nutzer ggf. auf, sich anzumelden.
- Die Anfrage abbrechen
-
Der Listener kann die Anfrage abbrechen. Wenn er dies tut, schlägt die Authentifizierung fehl und der Nutzer wird nicht zur Anmeldung aufgefordert. Erweiterungen können Anfragen wie folgt abbrechen:
- In
addListenerden Parameter"blocking"inextraInfoSpecübergeben - Im Listener ein Objekt mit einer
cancel-Eigenschaft zurückgeben, die auftruegesetzt ist
- In
- Anmeldedaten synchron bereitstellen
-
Wenn Anmeldedaten synchron verfügbar sind, kann die Erweiterung diese synchron bereitstellen. Wenn die Erweiterung dies tut, versucht der Browser, sich mit den Anmeldedaten anzumelden. Der Listener kann Anmeldedaten wie folgt synchron bereitstellen:
- In
addListenerden Parameter"blocking"inextraInfoSpecübergeben - Im Listener ein Objekt zurückgeben, bei dem die
authCredentials-Eigenschaft auf die anzubietenden Anmeldedaten gesetzt ist
- In
- Anmeldedaten asynchron bereitstellen
-
Die Erweiterung muss möglicherweise Anmeldedaten asynchron abrufen. Beispielsweise muss die Erweiterung möglicherweise Anmeldedaten aus dem Speicher abrufen oder den Nutzer fragen. In diesem Fall kann der Listener Anmeldedaten wie folgt asynchron bereitstellen:
-
In
addListenerden Parameter"asyncBlocking"in Chrome und Firefox oder"blocking"in Firefox inextraInfoSpecübergeben -
Wenn
"blocking"bereitgestellt wird, kann die Erweiterung einwebRequest.BlockingResponse-Objekt oder ein Promise zurückgeben, das zu einemwebRequest.BlockingResponse-Objekt aufgelöst wird -
Wenn
"asyncBlocking"bereitgestellt wird, erhält die Event-Listener-Funktion eineasyncCallback-Funktion als zweiten Parameter.asyncCallbackkann asynchron aufgerufen werden und nimmt einwebRequest.BlockingResponse-Objekt als einzigen Parameter entgegenHinweis: Chrome unterstützt kein Promise als Rückgabewert (Chromium Issue 1510405). Für Alternativen siehe den Rückgabewert des
listener.
-
Siehe Beispiele.
Wenn Ihre Erweiterung falsche Anmeldedaten bereitstellt, wird der Listener erneut aufgerufen. Seien Sie daher vorsichtig, um eine unendliche Schleife zu vermeiden, indem Sie wiederholt falsche Anmeldedaten bereitstellen.
Berechtigungen
In Firefox- und Chrome Manifest V2-Erweiterungen müssen Sie die "webRequest" und "webRequestBlocking" API-Berechtigungen zu Ihrer manifest.json hinzufügen.
Für Manifest V3-Erweiterungen unterstützt Chrome die Berechtigung "webRequestBlocking" nicht mehr (außer für Richtlinien-installierte Erweiterungen). Stattdessen ermöglichen die Berechtigungen "webRequest" und "webRequestAuthProvider" die asynchrone Bereitstellung von Anmeldedaten. Firefox unterstützt weiterhin "webRequestBlocking" in Manifest V3 und bietet "webRequestAuthProvider" für plattformübergreifende Kompatibilität.
Proxy-Authentifizierung
Firefox löst im Allgemeinen keine webRequest-Ereignisse für Systemanforderungen aus, wie z. B. Browser- oder Erweiterungsupgrades oder Suchmaschinenabfragen. Um die Proxy-Authentifizierung für Systemanforderungen nahtlos zu ermöglichen, unterstützt Firefox ab Version 57 eine Ausnahme dazu.
Wenn eine Erweiterung die Berechtigungen "webRequest", "webRequestBlocking", "proxy" und "<all_urls>" hat, kann sie onAuthRequired verwenden, um Anmeldedaten für die Proxy-Authentifizierung bereitzustellen (aber nicht für normale Web-Authentifizierung). Der Listener kann keine Systemanforderungen abbrechen oder andere Änderungen an Systemanforderungen vornehmen.
Syntax
browser.webRequest.onAuthRequired.addListener(
listener, // function
filter, // object
extraInfoSpec // optional array of strings
)
browser.webRequest.onAuthRequired.removeListener(listener)
browser.webRequest.onAuthRequired.hasListener(listener)
Ereignisse haben drei Funktionen:
addListener(listener, filter, extraInfoSpec)-
Fügt diesem Ereignis einen Listener hinzu.
removeListener(listener)-
Beendet das Hören auf dieses Ereignis. Das
listener-Argument ist der zu entfernende Listener. hasListener(listener)-
Prüft, ob
listenerfür dieses Ereignis registriert ist. Gibttruezurück, wenn es lauscht, ansonstenfalse.
addListener-Syntax
>Parameter
listener-
Die Funktion, die aufgerufen wird, wenn dieses Ereignis eintritt. Der Funktion werden diese Argumente übergeben:
details-
object. Details zu der Anfrage. Siehe den details Abschnitt für weitere Informationen. asyncCallbackOptional-
Eine Funktion, die höchstens einmal aufgerufen wird, um das Anfrageobjekt asynchron zu ändern. Dieser Parameter ist nur vorhanden, wenn der Event-Listener mit
"asyncBlocking"imextraInfoSpec-Array registriert ist.asyncCallbackist undefiniert, wennextraInfoSpecnicht bereitgestellt wird oder"blocking"enthält.
Rückgabewert:
webRequest.BlockingResponseoder einPromise, abhängig von den Einstellungen inextraInfoSpec. filter-
webRequest.RequestFilter. Ein Filter, der die an diesen Listener gesendeten Ereignisse einschränkt. extraInfoSpecOptional-
arrayvonstring. Zusätzliche Optionen für das Ereignis. Sie können einen der folgenden Werte übergeben:-
"blocking": macht die Anfrage blockierend, sodass Sie die Anfrage abbrechen oder Authentifizierungsdaten bereitstellen können. Geben Sie einBlockingResponse-Objekt zurück, dessencancel- oderauthCredentials-Eigenschaften festgelegt sind.- In Chrome muss der Event-Listener synchron reagieren.
- In Firefox kann der Event-Listener synchron reagieren oder ein Promise zurückgeben, das sich zu einem
BlockingResponse-Objekt asynchron auflöst.
-
"asyncBlocking": behandelt die Anfrage asynchron. Der Rückgabewert des Event-Listeners wird ignoriert. Um das Ereignis zu lösen, geben Sie demasyncCallback-Parameter einBlockingResponse-Objekt.- Unterstützt ab Chrome 120 und Firefox 128.
- Nicht in Safari unterstützt.
-
Zusätzliche Objekte
>details
challenger-
object. Der Server, der die Authentifizierung anfordert. Dies ist ein Objekt mit den folgenden Eigenschaften: documentIdOptional-
string. Die UUID des Dokuments, das die Anfrage stellt. Weitere Informationen finden Sie im Artikel Arbeiten mit documentId. documentLifecycle-
string. Der Lebenszyklus, in dem sich das Dokument befindet. Gibt die Werte"prerender","active","cached"oder"pending_deletion"zurück. -
string. Wenn die Anfrage von einem Tab in einer kontextuellen Identität stammt, die Cookie-Store-ID der kontextuellen Identität. Weitere Informationen finden Sie im Artikel Arbeiten mit kontextuellen Identitäten. frameId-
integer. Dies ist0, wenn die Anfrage im Hauptframe erfolgt; ein positiver Wert ist die ID eines Unterframes, in dem die Anfrage erfolgt. Wenn das Dokument eines (Unter-)Frames geladen wird (typeistmain_frameodersub_frame), gibtframeIddie ID dieses Frames an, nicht die ID des äußeren Frames. Frame-IDs sind innerhalb eines Tabs eindeutig. frameType-
string. Der Typ des Frames, in dem die Anfrage aufgetreten ist. Gibt die Werte"outermost_frame","fenced_frame"oder"sub_frame"zurück. incognito-
boolean. Ob die Anfrage aus einem privaten Browsing-Fenster stammt. isProxy-
boolean.truebeiProxy-Authenticate,falsebeiWWW-Authenticate.Hinweis:
webRequest.onAuthRequiredwird nur für HTTP- und HTTPS/TLS-Proxy-Server aufgerufen, die eine Authentifizierung erfordern, nicht für SOCKS-Proxy-Server, die eine Authentifizierung erfordern. method-
string. Standard-HTTP-Methode (z. B."GET"oder"POST"). parentDocumentIdOptional-
string. Eine UUID des übergeordneten Dokuments, das den Frame besitzt. Wird nicht festgelegt, wenn es kein übergeordnetes Element gibt. Weitere Informationen finden Sie im Artikel Arbeiten mit documentId. parentFrameId-
integer. ID des Frames, der den Frame enthält, der die Anfrage gesendet hat. Auf-1gesetzt, wenn kein übergeordneter Frame vorhanden ist. proxyInfo-
object. Diese Eigenschaft ist nur vorhanden, wenn die Anfrage über einen Proxy erfolgt. Sie enthält die folgenden Eigenschaften:host-
string. Der Hostname des Proxy-Servers. port-
integer. Die Portnummer des Proxy-Servers. type-
string. Der Typ des Proxy-Servers. Einer von:"http": HTTP-Proxy (oder SSL CONNECT für HTTPS)"https": HTTP-Proxying über TLS-Verbindung zum Proxy"socks": SOCKS v5 Proxy"socks4": SOCKS v4 Proxy"direct": kein Proxy"unknown": unbekannter Proxy
username-
string. Benutzername für den Proxy-Dienst. proxyDNS-
boolean. True, wenn der Proxy die Namensauflösung basierend auf dem bereitgestellten Hostnamen durchführt, was bedeutet, dass der Client keine eigene DNS-Abfrage durchführen sollte. failoverTimeout-
integer. Failover-Time-out in Sekunden. Wenn die Verbindung innerhalb dieser Anzahl von Sekunden nicht mit dem Proxy-Server verbunden werden kann, wird der nächste Proxy-Server im Array aus FindProxyForURL() verwendet.
realmOptional-
string. Der vom Server bereitgestellte Authentifizierungs-Realm, falls vorhanden. requestId-
string. Die ID der Anfrage. Anfragen-IDs sind innerhalb einer Browsersitzung eindeutig, sodass Sie verschiedene Ereignisse, die mit derselben Anfrage verbunden sind, in Beziehung setzen können. responseHeadersOptional-
webRequest.HttpHeaders. Die HTTP-Antwortheader, die mit dieser Antwort empfangen wurden. scheme-
string. Das Authentifizierungs-Schema:"basic"oder"digest". statusCode-
integer. Standard-HTTP-Statuscode, der vom Server zurückgegeben wird. statusLine-
string. HTTP-Statuszeile der Antwort, die Zeichenfolge'HTTP/0.9 200 OK'für HTTP/0.9-Antworten (d.h. Antworten, denen eine Statuszeile fehlt), oder ein leerer String, wenn keine Header vorhanden sind. tabId-
integer. ID des Tabs, in dem die Anfrage stattfindet. Auf-1gesetzt, wenn die Anfrage nicht mit einem Tab in Verbindung steht. thirdParty-
boolean. Gibt an, ob es sich bei der Anfrage und ihrer Inhaltshierarchie um Dritte handelt. timeStamp-
number. Der Zeitpunkt, zu dem dieses Ereignis ausgelöst wurde, in Millisekunden seit der Epoche. type-
webRequest.ResourceType. Der Typ der angeforderten Ressource: beispielsweise"image","script"oder"stylesheet". url-
string. Ziel der Anfrage. urlClassification-
object. Die Art des Trackings, das mit der Anfrage verbunden ist, falls die Anfrage von Firefox Tracking Protection klassifiziert wird. Dies ist ein Objekt mit diesen Eigenschaften:firstParty-
arrayvonstring. Klassifizierungsflags für die First-Party der Anfrage. thirdParty-
arrayvonstring. Klassifizierungsflags für die Dritten der Anfrage oder ihrer Inhaltshierarchie.
Die Klassifizierungsflags umfassen:
fingerprintingundfingerprinting_content: zeigt an, dass die Anfrage in Fingerprinting involviert ist ("ein Ursprung, der zum Fingerprinting gefunden wurde").fingerprintingzeigt an, dass die Domain in die Kategorie Fingerprinting und Tracking fällt. Beispiele für diese Art von Domain sind Werbetreibende, die ein Profil mit dem besuchenden Nutzer verknüpfen möchten.fingerprinting_contentzeigt an, dass die Domain in die Kategorie Fingerprinting fällt, aber nicht in die Kategorie Tracking. Beispiele für diese Art von Domain sind Zahlungsanbieter, die Fingerprinting-Techniken verwenden, um den besuchenden Nutzer zu Identifikationszwecken für Betrugsbekämpfung zu erkennen.
cryptominingundcryptomining_content: ähnlich der Kategorie Fingerprinting, jedoch für Krypto-Mining-Ressourcen.tracking,tracking_ad,tracking_analytics,tracking_socialundtracking_content: zeigt an, dass die Anfrage am Tracking beteiligt ist.trackingist jede allgemeine Tracking-Anfrage. Die Suffixead,analytics,socialundcontentidentifizieren den Typ des Trackers.emailtrackingundemailtracking_content: zeigt an, dass die Anfrage am E-Mail-Tracking beteiligt ist.any_basic_tracking: ein meta-Flag, das Tracking- und Fingerprinting-Flags kombiniert, mit Ausnahme vontracking_contentundfingerprinting_content.any_strict_tracking: ein meta-Flag, das alle Tracking- und Fingerprinting-Flags kombiniert.any_social_tracking: ein meta-Flag, das alle sozialen Tracking-Flags kombiniert.
Weitere Informationen zu Trackertypen finden Sie auf der Webseite von disconnect.me. Das
content-Suffix zeigt Tracker an, die Inhalte verfolgen und bereitstellen. Ihr Blockieren schützt Nutzer, kann jedoch dazu führen, dass Websites nicht mehr funktionieren oder Elemente nicht angezeigt werden.
Beispiele
Dieser Code beobachtet Authentifizierungsanfragen für die Ziel-URL:
const target = "https://intranet.company.com/";
function observe(requestDetails) {
console.log(`observing: ${requestDetails.requestId}`);
}
browser.webRequest.onAuthRequired.addListener(observe, { urls: [target] });
Dieser Code bricht Authentifizierungsanfragen für die Ziel-URL ab:
const target = "https://intranet.company.com/";
function cancel(requestDetails) {
console.log(`canceling: ${requestDetails.requestId}`);
return { cancel: true };
}
browser.webRequest.onAuthRequired.addListener(cancel, { urls: [target] }, [
"blocking",
]);
Dieser Code stellt Anmeldedaten synchron bereit. Er verfolgt ausstehende Anfragen, um sicherzustellen, dass er nicht wiederholt versucht, falsche Anmeldedaten zu übermitteln:
const target = "https://intranet.company.com/";
const myCredentials = {
username: "me@company.com",
password: "zDR$ERHGDFy",
};
const pendingRequests = [];
// A request has completed.
// We can stop worrying about it.
function completed(requestDetails) {
console.log(`completed: ${requestDetails.requestId}`);
let index = pendingRequests.indexOf(requestDetails.requestId);
if (index > -1) {
pendingRequests.splice(index, 1);
}
}
function provideCredentialsSync(requestDetails) {
// If we have seen this request before, then
// assume our credentials were bad, and give up.
if (pendingRequests.includes(requestDetails.requestId)) {
console.log(`bad credentials for: ${requestDetails.requestId}`);
return { cancel: true };
}
pendingRequests.push(requestDetails.requestId);
console.log(`providing credentials for: ${requestDetails.requestId}`);
return { authCredentials: myCredentials };
}
browser.webRequest.onAuthRequired.addListener(
provideCredentialsSync,
{ urls: [target] },
["blocking"],
);
browser.webRequest.onCompleted.addListener(completed, { urls: [target] });
browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });
Dieser Code stellt Anmeldedaten asynchron bereit, indem er sie aus dem Speicher abruft. Er verfolgt auch ausstehende Anfragen, um sicherzustellen, dass er nicht wiederholt versucht, falsche Anmeldedaten zu übermitteln:
const target = "https://httpbin.org/basic-auth/*";
const pendingRequests = [];
/*
* A request has completed. We can stop worrying about it.
*/
function completed(requestDetails) {
console.log(`completed: ${requestDetails.requestId}`);
let index = pendingRequests.indexOf(requestDetails.requestId);
if (index > -1) {
pendingRequests.splice(index, 1);
}
}
function provideCredentialsAsync(requestDetails) {
// If we have seen this request before,
// then assume our credentials were bad,
// and give up.
if (pendingRequests.includes(requestDetails.requestId)) {
console.log(`bad credentials for: ${requestDetails.requestId}`);
return { cancel: true };
}
pendingRequests.push(requestDetails.requestId);
console.log(`providing credentials for: ${requestDetails.requestId}`);
// we can return a promise that will be resolved
// with the stored credentials
return browser.storage.local.get(null);
}
browser.webRequest.onAuthRequired.addListener(
provideCredentialsAsync,
{ urls: [target] },
["blocking"],
);
browser.webRequest.onCompleted.addListener(completed, { urls: [target] });
browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });
Beispielerweiterungen
Browser-Kompatibilität
Hinweis:
Diese API basiert auf der chrome.webRequest API von Chromium. Diese Dokumentation stammt aus web_request.json im Chromium-Code.