◆ content script の空間なら cors 無視して fetch できるけど https/http の制限は受けた ◆ externally_connectable は全サイトで許可できない ◆ 手間だけど page ←→ content script ←→ background で通信するのがよさそう CORS 制限ホントいらないクロスオリジンだと fetch できないの不便すぎです 画像を canvas に貼ったらピクセルのデータ取り出せないとか CSS のスタイル定義を見れないとか 一々制限が多すぎます セキュリティ対策といっても script タグで JavaScript ファイルはなんでも実行できるし JavaScript の中に DataURI 形式で任意のバイナリ仕込めるんだし 悪いことしようとしてる人からすれば 特に困るようには思えません 逆に 普通に何か作る人