Официальные документы рекомендуют использовать windows.postMessage для связи между скриптом содержимого и скриптом локальной страницы:
https://developer.chrome.com/extensions/content_scripts#host-page-communication
document.getElementById("theButton").addEventListener("click",
function() {
window.postMessage({ type: "FROM_PAGE", text: "Hello from the webpage!" }, "*");
}, false);
Но из MDN:
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
В нем говорится, что не рекомендуется использовать «*» в качестве цели, а также, что «источник» не определен при получении сообщения от некоторого расширения (а исходные документы используют источник для обнаружения, еслиэто текущее окно отправляет сообщение)
Я немного озадачен этим, стоит ли использовать window.postMessage для связи между скриптом содержимого и скриптами локальной страницы?
Иесли да, то какой безопасный способ сделать это?