webRequest.onAuthRequired

Wird ausgelöst, wenn der Server einen 401 oder 407 Statuscode und einen WWW-Authenticate-Header mit dem Basic-Schema sendet (d. h., wenn der Server den Client auffordert, Authentifizierungsdaten wie Benutzername und Passwort bereitzustellen).

Der Listener kann auf eine von vier Arten antworten:

Keine Aktion durchführen

Der Listener kann nichts tun, sondern nur die Anfrage beobachten. Falls dies geschieht, hat es keine Auswirkungen auf die Bearbeitung der Anfrage, und der Browser fragt den Benutzer, sich einzuloggen, falls dies angemessen ist.

Die Anfrage abbrechen

Der Listener kann die Anfrage abbrechen. Falls er dies tut, schlägt die Authentifizierung fehl, und der Benutzer wird nicht aufgefordert, sich einzuloggen. Erweiterungen können Anfragen wie folgt abbrechen:

  • Übergeben Sie in addListener "blocking" als Parameter extraInfoSpec
  • Im Listener geben Sie ein Objekt mit einer cancel-Eigenschaft zurück, die auf true gesetzt ist
Zugangsdaten synchron bereitstellen

Wenn Zugangsdaten synchron verfügbar sind, kann die Erweiterung sie synchron bereitstellen. Falls die Erweiterung dies tut, versucht der Browser, sich mit den Zugangsdaten einzuloggen. Der Listener kann Zugangsdaten wie folgt synchron bereitstellen:

  • Übergeben Sie in addListener "blocking" als Parameter extraInfoSpec
  • Im Listener geben Sie ein Objekt mit einer authCredentials-Eigenschaft zurück, die auf die bereitgestellten Zugangsdaten gesetzt ist
Zugangsdaten asynchron bereitstellen

Die Erweiterung muss eventuell Zugangsdaten asynchron abrufen. Zum Beispiel könnte die Erweiterung Zugangsdaten aus einem Speicher abrufen oder den Benutzer fragen müssen. In diesem Fall kann der Listener wie folgt Zugangsdaten asynchron bereitstellen:

  • Übergeben Sie in addListener "asyncBlocking" in Chrome und Firefox oder "blocking" in Firefox im Parameter extraInfoSpec

  • Wenn "blocking" bereitgestellt wird, kann die Erweiterung ein webRequest.BlockingResponse-Objekt oder ein Promise, das zu einem webRequest.BlockingResponse-Objekt aufgelöst wird, zurückgeben.

  • Wenn "asyncBlocking" bereitgestellt wird, erhält die Event-Listener-Funktion eine asyncCallback-Funktion als zweiten Parameter. asyncCallback kann asynchron aufgerufen werden und nimmt ein webRequest.BlockingResponse-Objekt als einzigen Parameter entgegen

    Hinweis: Chrome unterstützt keine Promise als Rückgabewert (Chromium Issue 1510405). Für Alternativen siehe den Rückgabewert des listener.

Siehe Beispiele.

Falls Ihre Erweiterung ungültige Zugangsdaten bereitstellt, wird der Listener erneut aufgerufen. Aus diesem Grund ist Vorsicht geboten, um ein unendliches Schleifen mit fortwährend ungültigen Zugangsdaten zu vermeiden.

Berechtigungen

In Firefox- und Chrome-Erweiterungen des Manifests V2 müssen Sie die "webRequest"- und "webRequestBlocking"-API-Berechtigungen zu Ihrer manifest.json hinzufügen.

Für Manifest V3-Erweiterungen unterstützt Chrome die Berechtigung "webRequestBlocking" nicht mehr (außer für durch Richtlinien installierte Erweiterungen). Stattdessen ermöglichen die Berechtigungen "webRequest" und "webRequestAuthProvider" die asynchrone Bereitstellung von Zugangsdaten. Firefox unterstützt weiterhin "webRequestBlocking" im Manifest V3 und bietet "webRequestAuthProvider" zur plattformübergreifenden Kompatibilität.

Proxy-Authentifizierung

Firefox löst generell keine webRequest-Ereignisse für Systemanfragen aus, wie z.B. Browser- oder Erweiterungsupgrades oder Suchmaschinenanfragen. Um die Proxy-Authentifizierung für Systemanfragen reibungslos zu ermöglichen, unterstützt Firefox seit Version 57 eine Ausnahme hiervon.

Falls eine Erweiterung die Berechtigungen "webRequest", "webRequestBlocking", "proxy" und "<all_urls>" hat, kann sie onAuthRequired verwenden, um Zugangsdaten für die Proxy-Authentifizierung bereitzustellen (jedoch nicht für normale Web-Authentifizierung). Der Listener kann keine Systemanfragen abbrechen oder andere Änderungen an irgendwelchen Systemanfragen vornehmen.

Syntax

js
browser.webRequest.onAuthRequired.addListener(
  listener,                    // function
  filter,                      //  object
  extraInfoSpec                //  optional array of strings
)
browser.webRequest.onAuthRequired.removeListener(listener)
browser.webRequest.onAuthRequired.hasListener(listener)

Ereignisse haben drei Funktionen:

addListener(listener, filter, extraInfoSpec)

Fügt diesem Ereignis einen Listener hinzu.

removeListener(listener)

Stoppt das Lauschen auf dieses Ereignis. Das listener-Argument ist der zu entfernende Listener.

hasListener(listener)

Prüft, ob listener für dieses Ereignis registriert ist. Gibt true zurück, wenn es lauscht, andernfalls false.

addListener-Syntax

Parameter

listener

Die Funktion, die aufgerufen wird, wenn dieses Ereignis eintritt. Der Funktion werden folgende Argumente übergeben:

details

object. Details zur Anfrage. Siehe den Abschnitt details für mehr Informationen.

asyncCallback Optional

Eine Funktion, die höchstens einmal aufgerufen wird, um das Anfrageobjekt asynchron zu modifizieren. Dieser Parameter ist nur vorhanden, wenn der Event-Listener mit "asyncBlocking" im Array extraInfoSpec registriert ist. asyncCallback ist undefiniert, wenn extraInfoSpec nicht bereitgestellt wird oder "blocking" enthält.

Rückgabe: webRequest.BlockingResponse oder ein Promise abhängig von den Einstellungen in extraInfoSpec.

filter

webRequest.RequestFilter. Ein Filter, der die an diesen Listener gesendeten Ereignisse einschränkt.

extraInfoSpec Optional

array von string. Zusätzliche Optionen für das Ereignis. Sie können einen dieser Werte übergeben:

  • "blocking": mach die Anfrage blockierend, sodass sie die Anfrage abbrechen oder Authentifizierungsdaten bereitstellen können. Geben Sie ein BlockingResponse-Objekt mit gesetzten cancel- oder authCredentials-Eigenschaften zurück.

    • In Chrome muss der Event-Listener synchron antworten.
    • In Firefox kann der Event-Listener synchron antworten oder ein Versprechen zurückgeben, das zu einem BlockingResponse-Objekt aufgelöst wird, um asynchron zu antworten.

  • "asyncBlocking": Bearbeiten Sie die Anfrage asynchron. Der Rückgabewert des Event-Listeners wird ignoriert. Um das Ereignis aufzulösen, übergeben Sie dem asyncCallback-Parameter ein BlockingResponse-Objekt.

    • Unterstützt ab Chrome 120 und Firefox 128.
    • Nicht unterstützt in Safari.

Zusätzliche Objekte

details

challenger

object. Der Server, der die Authentifizierung verlangt. Dies ist ein Objekt mit den folgenden Eigenschaften:

host

string. Der Hostname des Servers.

port

integer. Die Portnummer des Servers.

cookieStoreId

string. Falls die Anfrage aus einem Tab mit einer kontextuellen Identität erfolgt, die Cookie-Store-ID der kontextuellen Identität. Weitere Informationen finden Sie unter Arbeiten mit kontextuellen Identitäten.

frameId

integer. Dies ist 0, wenn die Anfrage im Hauptframe erfolgt; ein positiver Wert ist die ID eines Unterrahmens, in dem die Anfrage erfolgt. Wenn das Dokument eines (Unter-)Rahmens geladen wird (type ist main_frame oder sub_frame), zeigt frameId die ID dieses Rahmens an, nicht die des äußeren Rahmens. Frame-IDs sind innerhalb eines Tabs eindeutig.

incognito

boolean. Ob die Anfrage aus einem privaten Browserfenster stammt.

isProxy

boolean. true für Proxy-Authenticate, false für WWW-Authenticate.

Hinweis: webRequest.onAuthRequired wird nur für HTTP und HTTPS/TLS-Proxyserver aufgerufen, die Authentifizierung erfordern, nicht für SOCKS-Proxyserver, die Authentifizierung erfordern.

method

string. Standard-HTTP-Methode (zum Beispiel "GET" oder "POST").

parentFrameId

integer. ID des Rahmens, der den Rahmen enthält, der die Anfrage gesendet hat. Auf -1 gesetzt, wenn kein übergeordneter Rahmen existiert.

proxyInfo

object. Diese Eigenschaft ist nur vorhanden, wenn die Anfrage proxiert wird. Sie enthält die folgenden Eigenschaften:

host

string. Der Hostname des Proxyservers.

port

integer. Die Portnummer des Proxyservers.

type

string. Der Typ des Proxyservers. Eine Auswahl von:

  • "http": HTTP-Proxy (oder SSL CONNECT für HTTPS)
  • "https": HTTP-Proxy über TLS-Verbindung zum Proxy
  • "socks": SOCKS v5 Proxy
  • "socks4": SOCKS v4 Proxy
  • "direct": Kein Proxy
  • "unknown": Unbekannter Proxy
username

string. Benutzername für den Proxydienst.

proxyDNS

boolean. True, wenn der Proxy die Namensauflösung basierend auf dem bereitgestellten Hostnamen durchführt, was bedeutet, dass der Client kein eigenes DNS-Lookup durchführen sollte.

failoverTimeout

integer. Failover-Timeout in Sekunden. Wenn die Verbindung zum Proxyserver nach dieser Anzahl von Sekunden nicht hergestellt werden kann, wird der nächste Proxyserver im Array zurückgegeben von FindProxyForURL() verwendet.

realm Optional

string. Der vom Server bereitgestellte Authentifizierungs-Realm, falls vorhanden.

requestId

string. Die ID der Anfrage. Anfragen-IDs sind innerhalb einer Browsersitzung eindeutig, sodass Sie verschiedene Ereignisse mit derselben Anfrage in Verbindung bringen können.

responseHeaders Optional

webRequest.HttpHeaders. Die mit dieser Antwort empfangenen HTTP-Antwort-Header.

scheme

string. Das Authentifizierungsschema: "basic" oder "digest".

statusCode

integer. Standard-HTTP-Statuscode, der vom Server zurückgegeben wird.

statusLine

string. HTTP-Statuszeile der Antwort, die 'HTTP/0.9 200 OK'-Zeichenkette für HTTP/0.9-Antworten (d. h. Antworten, die keine Statuszeile enthalten) oder eine leere Zeichenkette, wenn keine Header vorhanden sind.

tabId

integer. ID des Tabs, in dem die Anfrage stattfindet. Auf -1 gesetzt, wenn die Anfrage nicht mit einem Tab in Zusammenhang steht.

thirdParty

boolean. Gibt an, ob die Anfrage und ihre Inhaltsfensterhierarchie von Dritten ist.

timeStamp

number. Die Zeit, als dieses Ereignis ausgelöst wurde, in Millisekunden seit der Epoche.

type

webRequest.ResourceType. Der Typ der angeforderten Ressource: Zum Beispiel "image", "script" oder "stylesheet".

url

string. Ziel der Anfrage.

urlClassification

object. Der Typ des Trackings, der mit der Anfrage verbunden ist, falls die Anfrage von Firefox Tracking Protection klassifiziert wird. Dies ist ein Objekt mit diesen Eigenschaften:

firstParty

array von strings. Klassifizierungsflags für die First-Party der Anfrage.

thirdParty

array von strings. Klassifizierungsflags für die Anfrage oder die Dritte in ihrer Fensterhierarchie.

Die Klassifizierungsflags umfassen:

  • fingerprinting und fingerprinting_content: kennzeichnet, dass die Anfrage an Fingerprinting beteiligt ist ("ein Ursprung, der Fingerprinting betreibt").
    • fingerprinting zeigt an, dass die Domain zur Fingerprinting- und Tracking-Kategorie gehört. Beispiele für diese Art von Domain sind Werbetreibende, die ein Profil mit dem besuchenden Benutzer verknüpfen möchten.
    • fingerprinting_content zeigt an, dass die Domain zur Fingerprinting- aber nicht zur Tracking-Kategorie gehört. Beispiele für diese Art von Domain sind Zahlungsanbieter, die Fingerprinting-Techniken verwenden, um den besuchenden Benutzer zu Identifikationszwecken zu identifizieren.
  • cryptomining und cryptomining_content: ähnlich wie die Fingerprinting-Kategorie, jedoch für Krypto-Mining-Ressourcen.
  • tracking, tracking_ad, tracking_analytics, tracking_social und tracking_content: kennzeichnet, dass die Anfrage an Tracking beteiligt ist. tracking ist jede generische Tracking-Anfrage. Die Anhänge ad, analytics, social und content identifizieren den Typ des Trackers.
  • emailtracking und emailtracking_content: kennzeichnet, dass die Anfrage am Tracking von E-Mails beteiligt ist.
  • any_basic_tracking: Ein Meta-Flag, das Tracking- und Fingerprinting-Flags kombiniert, mit Ausnahme von tracking_content und fingerprinting_content.
  • any_strict_tracking: Ein Meta-Flag, das alle Tracking- und Fingerprinting-Flags kombiniert.
  • any_social_tracking: Ein Meta-Flag, das alle sozialen Tracking-Flags kombiniert.

Weitere Informationen zu Trackertypen finden Sie auf der disconnect.me Webseite. Das content-Suffix zeigt Tracker an, die Inhalt verfolgen und bereitstellen. Das Blockieren schützt Benutzer, kann jedoch dazu führen, dass Sites beschädigt werden oder Elemente nicht angezeigt werden.

Beispiele

Dieser Code beobachtet Authentifizierungsanfragen für die Ziel-URL:

js
const target = "https://intranet.company.com/";

function observe(requestDetails) {
  console.log(`observing: ${requestDetails.requestId}`);
}

browser.webRequest.onAuthRequired.addListener(observe, { urls: [target] });

Dieser Code bricht Authentifizierungsanforderungen für die Ziel-URL ab:

js
const target = "https://intranet.company.com/";

function cancel(requestDetails) {
  console.log(`canceling: ${requestDetails.requestId}`);
  return { cancel: true };
}

browser.webRequest.onAuthRequired.addListener(cancel, { urls: [target] }, [
  "blocking",
]);

Dieser Code stellt Zugangsdaten synchron bereit. Er verfolgt ausstehende Anfragen, um sicherzustellen, dass er nicht wiederholt ungültige Zugangsdaten einreicht:

js
const target = "https://intranet.company.com/";

const myCredentials = {
  username: "me@company.com",
  password: "zDR$ERHGDFy",
};

const pendingRequests = [];

// A request has completed.
// We can stop worrying about it.
function completed(requestDetails) {
  console.log(`completed: ${requestDetails.requestId}`);
  let index = pendingRequests.indexOf(requestDetails.requestId);
  if (index > -1) {
    pendingRequests.splice(index, 1);
  }
}

function provideCredentialsSync(requestDetails) {
  // If we have seen this request before, then
  // assume our credentials were bad, and give up.
  if (pendingRequests.includes(requestDetails.requestId)) {
    console.log(`bad credentials for: ${requestDetails.requestId}`);
    return { cancel: true };
  }
  pendingRequests.push(requestDetails.requestId);
  console.log(`providing credentials for: ${requestDetails.requestId}`);
  return { authCredentials: myCredentials };
}

browser.webRequest.onAuthRequired.addListener(
  provideCredentialsSync,
  { urls: [target] },
  ["blocking"],
);

browser.webRequest.onCompleted.addListener(completed, { urls: [target] });

browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });

Dieser Code stellt Zugangsdaten asynchron bereit, indem er sie aus dem Speicher abruft. Er verfolgt auch ausstehende Anfragen, um sicherzustellen, dass er nicht wiederholt ungültige Zugangsdaten einreicht:

js
const target = "https://httpbin.org/basic-auth/*";

const pendingRequests = [];

/*
 * A request has completed. We can stop worrying about it.
 */
function completed(requestDetails) {
  console.log(`completed: ${requestDetails.requestId}`);
  let index = pendingRequests.indexOf(requestDetails.requestId);
  if (index > -1) {
    pendingRequests.splice(index, 1);
  }
}

function provideCredentialsAsync(requestDetails) {
  // If we have seen this request before,
  // then assume our credentials were bad,
  // and give up.
  if (pendingRequests.includes(requestDetails.requestId)) {
    console.log(`bad credentials for: ${requestDetails.requestId}`);
    return { cancel: true };
  } else {
    pendingRequests.push(requestDetails.requestId);
    console.log(`providing credentials for: ${requestDetails.requestId}`);
    // we can return a promise that will be resolved
    // with the stored credentials
    return browser.storage.local.get(null);
  }
}

browser.webRequest.onAuthRequired.addListener(
  provideCredentialsAsync,
  { urls: [target] },
  ["blocking"],
);

browser.webRequest.onCompleted.addListener(completed, { urls: [target] });

browser.webRequest.onErrorOccurred.addListener(completed, { urls: [target] });

Beispielerweiterungen

Browser-Kompatibilität

BCD tables only load in the browser

Hinweis: Diese API basiert auf der Chromium-API chrome.webRequest. Diese Dokumentation ist von web_request.json im Chromium-Code abgeleitet.