webRequest.onAuthRequired

Wird ausgelöst, wenn der Server einen 401- oder 407-Statuscode und einen WWW-Authenticate-Header mit dem Basic-Schema sendet (das heißt, wenn der Server den Client um Authentifizierungsdaten, wie einen Benutzernamen und ein Passwort, bittet).

Der Listener kann auf eine von vier Arten reagieren:

Keine Aktion ausführen

Der Listener kann nichts tun und lediglich die Anfrage beobachten. In diesem Fall hat es keine Auswirkungen auf die Bearbeitung der Anfrage, und der Browser fragt den Benutzer gegebenenfalls nach einer Anmeldung.

Die Anfrage abbrechen

Der Listener kann die Anfrage abbrechen. Wenn er dies tut, schlägt die Authentifizierung fehl und der Benutzer wird nicht zur Anmeldung aufgefordert. Erweiterungen können Anfragen wie folgt abbrechen:

  • in addListener "blocking" im extraInfoSpec-Parameter übergeben
  • im Listener ein Objekt mit einer cancel-Eigenschaft zurückgeben, die auf true gesetzt ist
Anmeldedaten synchron bereitstellen

Wenn Anmeldedaten synchron verfügbar sind, kann die Erweiterung sie synchron bereitstellen. Wenn die Erweiterung dies tut, versucht der Browser, sich mit den Anmeldedaten anzumelden. Der Listener kann Anmeldedaten wie folgt synchron bereitstellen:

  • in addListener "blocking" im extraInfoSpec-Parameter übergeben
  • im Listener ein Objekt mit einer authCredentials-Eigenschaft zurückgeben, die auf die bereitzustellenden Anmeldedaten gesetzt ist
Anmeldedaten asynchron bereitstellen

Die Erweiterung muss möglicherweise Anmeldedaten asynchron abrufen. Zum Beispiel muss die Erweiterung möglicherweise Anmeldedaten aus dem Speicher abrufen oder den Benutzer fragen. In diesem Fall kann der Listener Anmeldedaten asynchron bereitstellen:

  • in addListener "asyncBlocking" in Chrome und Firefox oder "blocking" in Firefox im extraInfoSpec-Parameter übergeben

  • Wenn "blocking" bereitgestellt wird, kann die Erweiterung ein webRequest.BlockingResponse-Objekt oder ein Promise zurückgeben, das sich in ein webRequest.BlockingResponse-Objekt auflöst

  • Wenn "asyncBlocking" bereitgestellt wird, erhält die Event-Listener-Funktion eine asyncCallback-Funktion als zweiten Parameter. asyncCallback kann asynchron aufgerufen werden und nimmt ein webRequest.BlockingResponse-Objekt als einzigen Parameter

    Hinweis: Chrome unterstützt kein Promise als Rückgabewert (Chromium Problem 1510405). Für Alternativen siehe den Rückgabewert des listeners.

Siehe Beispiele.

Wenn Ihre Erweiterung falsche Anmeldedaten bereitstellt, wird der Listener erneut aufgerufen. Aus diesem Grund sollten Sie darauf achten, keine Endlosschleife zu erzeugen, indem Sie wiederholt falsche Anmeldedaten bereitstellen.

Berechtigungen

In Firefox- und Chrome Manifest V2-Erweiterungen müssen Sie die API-Berechtigungen "webRequest" und "webRequestBlocking" zu Ihrer manifest.json hinzufügen.

Für Manifest V3-Erweiterungen unterstützt Chrome die Berechtigung "webRequestBlocking" nicht mehr (außer bei installationsbasierten Erweiterungen). Stattdessen ermöglichen die Berechtigungen "webRequest" und "webRequestAuthProvider" das asynchrone Bereitstellen von Anmeldedaten. Firefox unterstützt weiterhin "webRequestBlocking" in Manifest V3 und bietet "webRequestAuthProvider" an, um Browser-übergreifende Kompatibilität zu bieten.

Proxy-Authentifizierung

Firefox löst im Allgemeinen keine webRequest-Ereignisse für Systemanforderungen aus, wie Browser- oder Erweiterungs-Upgrades oder Suchmaschinenanfragen. Um sicherzustellen, dass die Proxy-Authentifizierung für Systemanforderungen reibungslos funktioniert, unterstützt Firefox seit Version 57 eine Ausnahme davon.

Wenn eine Erweiterung die Berechtigungen "webRequest", "webRequestBlocking", "proxy" und "<all_urls>" hat, kann sie onAuthRequired verwenden, um Anmeldedaten für die Proxy-Authentifizierung bereitzustellen (jedoch nicht für normale Web-Authentifizierung). Der Listener kann Systemanforderungen nicht abbrechen oder andere Änderungen an Systemanforderungen vornehmen.

Syntax

js
browser.webRequest.onAuthRequired.addListener(
  listener,                    // function
  filter,                      //  object
  extraInfoSpec                //  optional array of strings
)
browser.webRequest.onAuthRequired.removeListener(listener)
browser.webRequest.onAuthRequired.hasListener(listener)

Ereignisse haben drei Funktionen:

addListener(listener, filter, extraInfoSpec)

Fügt einen Listener zu diesem Ereignis hinzu.

removeListener(listener)

Stoppt das Lauschen auf dieses Ereignis. Das listener-Argument ist der zu entfernende Listener.

hasListener(listener)

Überprüfen, ob listener für dieses Ereignis registriert ist. Gibt true zurück, wenn er lauscht, false andernfalls.

addListener Syntax

Parameter

listener

Die Funktion, die aufgerufen wird, wenn dieses Ereignis eintritt. Der Funktion werden diese Argumente übergeben:

details

object. Details zur Anfrage. Siehe den Abschnitt Details für weitere Informationen.

asyncCallback Optional

Eine Funktion, die höchstens einmal aufgerufen wird, um das Anforderungsobjekt asynchron zu ändern. Dieser Parameter ist nur vorhanden, wenn der Event-Listener mit "asyncBlocking" im extraInfoSpec-Array registriert ist. asyncCallback ist undefiniert, wenn extraInfoSpec nicht bereitgestellt wird oder "blocking" enthält.

Rückgabe: webRequest.BlockingResponse oder ein Promise, abhängig von den Einstellungen in extraInfoSpec.

filter

webRequest.RequestFilter. Ein Filter, der die Ereignisse einschränkt, die an diesen Listener gesendet werden.

extraInfoSpec Optional

array von string. Zusätzliche Optionen für das Ereignis. Sie können eine dieser Werte übergeben:

  • "blocking": lässt die Anfrage blockieren, damit Sie die Anfrage abbrechen oder Anmeldeinformationen bereitstellen können. Geben Sie ein BlockingResponse-Objekt mit den Eigenschaften cancel oder authCredentials zurück.

    • In Chrome muss der Event-Listener synchron reagieren.
    • In Firefox kann der Event-Listener synchron reagieren oder ein Promise zurückgeben, das sich in ein BlockingResponse-Objekt auflöst, um asynchron zu reagieren.

  • "asyncBlocking": behandelt die Anfrage asynchron. Der Rückgabewert des Event-Listeners wird ignoriert. Um das Ereignis aufzulösen, übergeben Sie dem asyncCallback-Parameter ein BlockingResponse-Objekt.

    • Unterstützt ab Chrome 120 und Firefox 128.
    • Nicht in Safari unterstützt.

Zusätzliche Objekte

details

challenger

object. Der Server, der die Authentifizierung anfordert. Dies ist ein Objekt mit den folgenden Eigenschaften:

host

string. Der Hostname des Servers.

port

integer. Die Portnummer des Servers.

cookieStoreId

string. Wenn die Anfrage von einem Tab kommt, der in einer Kontext-Identität geöffnet ist, die Cookie-Store-ID der Kontext-Identität. Weitere Informationen finden Sie unter Arbeiten mit Kontext-Identitäten.

frameId

integer. Dies ist 0, wenn die Anfrage im Hauptframe auftritt; ein positiver Wert ist die ID eines Unterframes, in dem die Anfrage auftritt. Wenn das Dokument eines (Unter-)Frames geladen wird (type ist main_frame oder sub_frame), zeigt frameId die ID dieses Frames an und nicht die ID des äußeren Frames. Frame-IDs sind innerhalb eines Tabs eindeutig.

incognito

boolean. Ob die Anfrage von einem Fenster des privaten Modus stammt.

isProxy

boolean. true für Proxy-Authenticate, false für WWW-Authenticate.

Hinweis: webRequest.onAuthRequired wird nur für HTTP- und HTTPS/TLS-Proxy-Server ausgelöst, die Authentifizierung erfordern, nicht für SOCKS-Proxy-Server, die Authentifizierung erfordern.

method

string. Standard-HTTP-Methode (z. B. "GET" oder "POST").

parentFrameId

integer. ID des Frames, der den Frame enthält, der die Anfrage gesendet hat. Wird auf -1 gesetzt, wenn kein übergeordneter Frame existiert.

proxyInfo

object. Diese Eigenschaft ist nur vorhanden, wenn die Anfrage über einen Proxy gestellt wird. Es enthält die folgenden Eigenschaften:

host

string. Der Hostname des Proxy-Servers.

port

integer. Die Portnummer des Proxy-Servers.

type

string. Der Typ des Proxy-Servers. Einer von:

  • "http": HTTP-Proxy (oder SSL CONNECT für HTTPS)
  • "https": HTTP-Proxying über TLS-Verbindung zum Proxy
  • "socks": SOCKS v5-Proxy
  • "socks4": SOCKS v4-Proxy
  • "direct": kein Proxy
  • "unknown": unbekannter Proxy
username

string. Benutzername für den Proxy-Dienst.

proxyDNS

boolean. Wahr, wenn der Proxy die DNS-Auflösung basierend auf dem bereitgestellten Hostnamen durchführt, was bedeutet, dass der Client keine eigene DNS-Abfrage durchführen sollte.

failoverTimeout

integer. Failover-Timeout in Sekunden. Wenn die Verbindung scheitert, sich mit dem Proxy-Server zu verbinden, nachdem diese Anzahl von Sekunden abgelaufen ist, wird der nächste Proxy-Server im Array, das von FindProxyForURL() zurückgegeben wird, verwendet.

realm Optional

string. Das vom Server bereitgestellte Authentifizierungs-Realm, falls vorhanden.

requestId

string. Die ID der Anfrage. Anfrage-IDs sind innerhalb einer Browsersitzung eindeutig, sodass Sie verschiedene Ereignisse verknüpfen können, die mit derselben Anfrage verbunden sind.

responseHeaders Optional

webRequest.HttpHeaders. Die mit dieser Antwort empfangenen HTTP-Antwortkopfzeilen.

scheme

string. Das Authentifizierungsschema: "basic" oder "digest".

statusCode

integer. Der vom Server zurückgegebene Standard-HTTP-Statuscode.

statusLine

string. Die HTTP-Statuszeile der Antwort, die 'HTTP/0.9 200 OK'-Zeichenkette für HTTP/0.9-Antworten (d.h. Antworten, die eine Statuszeile fehlen), oder eine leere Zeichenkette, wenn keine Header vorhanden sind.

tabId

integer. Die ID des Tabs, in dem die Anfrage stattfindet. Wird auf -1 gesetzt, wenn die Anfrage nicht mit einem Tab zusammenhängt.

thirdParty

boolean. Gibt an, ob die Anfrage und ihre Inhaltfenster-Hierarchie von Drittanbietern stammen.

timeStamp

number. Der Zeitpunkt, zu dem dieses Ereignis ausgelöst wurde, in Millisekunden seit der Epoche.

type

webRequest.ResourceType. Der Typ der angeforderten Ressource: zum Beispiel "image", "script" oder "stylesheet".

url

string. Ziel der Anfrage.

urlClassification

object. Die Art der Nachverfolgung, die mit der Anfrage verbunden ist, wenn die Anfrage von Firefox Tracking Protection klassifiziert wird. Dies ist ein Objekt mit diesen Eigenschaften:

firstParty

array von string. Klassifikationsmarkierungen für die erste Partei der Anfrage.

thirdParty

array von string. Klassifikationsmarkierungen für die Anfrage oder die dritten Parteien in ihrer Fensterhierarchie.

Die Klassifikationsmarkierungen beinhalten:

  • fingerprinting und fingerprinting_content: Gibt an, dass die Anfrage beim Fingerprinting beteiligt ist ("eine Quelle, die Fingerprinting betreibt").
    • fingerprinting zeigt an, dass die Domain in der Kategorie Fingerprinting und Tracking ist. Beispiele für diese Art von Domain sind Werbetreibende, die ein Profil mit dem besuchenden Benutzer verknüpfen möchten.
    • fingerprinting_content zeigt an, dass die Domain in der Fingerprinting-Kategorie ist, jedoch nicht in der Tracking-Kategorie. Beispiele für diese Art von Domain sind Zahlungsanbieter, die Fingerprinting-Techniken verwenden, um den besuchenden Benutzer zur Betrugsbekämpfung zu identifizieren.
  • cryptomining und cryptomining_content: Ähnlich der Fingerprinting-Kategorie, jedoch für Krypto-Mining-Ressourcen.
  • tracking, tracking_ad, tracking_analytics, tracking_social und tracking_content: Gibt an, dass die Anfrage beim Tracking beteiligt ist. tracking ist eine beliebige generische Tracking-Anfrage. Die Suffixe ad, analytics, social und content identifizieren den Typ des Trackers.
  • emailtracking und emailtracking_content: Gibt an, dass die Anfrage am Tracking von E-Mails beteiligt ist.
  • any_basic_tracking: Eine Meta-Markierung, die Tracking- und Fingerprinting-Markierungen kombiniert, ohne tracking_content und fingerprinting_content.
  • any_strict_tracking: Eine Meta-Markierung, die alle Tracking- und Fingerprinting-Markierungen kombiniert.
  • any_social_tracking: Eine Meta-Markierung, die alle sozialen Tracking-Markierungen kombiniert.

Weitere Informationen zu Trackertypen finden Sie auf der disconnect.me-Website. Das Suffix content weist auf Tracker hin, die Inhalte nachverfolgen und ausliefern. Ihre Blockierung schützt die Benutzer, kann jedoch dazu führen, dass Seiten fehlerhaft funktionieren oder Elemente nicht angezeigt werden.

Beispiele

Dieser Code beobachtet Authentifizierungsanfragen für die Ziel-URL:

js
const target = "https://intranet.company.com/";

function observe(requestDetails) {
  console.log(`observing: ${requestDetails.requestId}`);
}

browser.webRequest.onAuthRequired.addListener(observe, { urls: [target] });

Dieser Code bricht Authentifizierungsanfragen für die Ziel-URL ab:

js
const target = "https://intranet.company.com/";

function cancel(requestDetails) {
  console.log(`canceling: ${requestDetails.requestId}`);
  return { cancel: true };
}

browser.webRequest.onAuthRequired.addListener(cancel, { urls: [target] }, [
  "blocking",
]);

Dieser Code liefert synchron Anmeldedaten. Er behält den Überblick über ausstehende Anfragen, um sicherzustellen, dass nicht wiederholt versucht wird, falsche Anmeldedaten zu übermitteln:

js
const target = "https://intranet.company.com/";

const myCredentials = {
  username: "me@company.com",
  password: "zDR$ERHGDFy",
};

const pendingRequests = [];

// A request has completed.
// We can stop worrying about it.
function completed(requestDetails) {
  console.log(`completed: ${requestDetails.requestId}`);
  let index = pendingRequests.indexOf(requestDetails.requestId);
  if (index > -1) {
    pendingRequests.splice(index, 1);
  }
}

function provideCredentialsSync(requestDetails) {
  // If we have seen this request before, then
  // assume our credentials were bad, and give up.
  if (pendingRequests.includes(requestDetails.requestId)) {
    console.log(`bad credentials for: ${requestDetails.requestId}`);
    return { cancel: true };
  }
  pendingRequests.push(requestDetails.requestId);
  console.log(`providing credentials for: ${requestDetails.requestId}`);
  return { authCredentials: myCredentials };
}

browser.webRequest.onAuthRequired.addListener(
  provideCredentialsSync,
  { urls: [target] },
  ["blocking"],
);

browser.webRequest.onCompleted.addListener(completed, { urls: [target] });

browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });

Dieser Code liefert Anmeldedaten asynchron und ruft sie aus dem Speicher ab. Er behält ebenfalls den Überblick über ausstehende Anfragen, um sicherzustellen, dass nicht wiederholt versucht wird, falsche Anmeldedaten zu übermitteln:

js
const target = "https://httpbin.org/basic-auth/*";

const pendingRequests = [];

/*
 * A request has completed. We can stop worrying about it.
 */
function completed(requestDetails) {
  console.log(`completed: ${requestDetails.requestId}`);
  let index = pendingRequests.indexOf(requestDetails.requestId);
  if (index > -1) {
    pendingRequests.splice(index, 1);
  }
}

function provideCredentialsAsync(requestDetails) {
  // If we have seen this request before,
  // then assume our credentials were bad,
  // and give up.
  if (pendingRequests.includes(requestDetails.requestId)) {
    console.log(`bad credentials for: ${requestDetails.requestId}`);
    return { cancel: true };
  } else {
    pendingRequests.push(requestDetails.requestId);
    console.log(`providing credentials for: ${requestDetails.requestId}`);
    // we can return a promise that will be resolved
    // with the stored credentials
    return browser.storage.local.get(null);
  }
}

browser.webRequest.onAuthRequired.addListener(
  provideCredentialsAsync,
  { urls: [target] },
  ["blocking"],
);

browser.webRequest.onCompleted.addListener(completed, { urls: [target] });

browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });

Beispielerweiterungen

Browser-Kompatibilität

Hinweis: Diese API basiert auf Chromium's chrome.webRequest API. Diese Dokumentation ist aus web_request.json im Chromium-Code abgeleitet.