本文探讨了在开发浏览器插件时遇到的跨域请求问题。插件需要从网站A获取数据，处理后发送给网站B，但B接口对Referer、Origin和Token有严格校验，而浏览器安全策略限制了插件伪造这些请求头。文章详细描述了问题背景、尝试过的解决方案及结果，并寻求社区的帮助，希望找到绕过限制的方法，实现插件成功向B接口发起请求。

💡问题核心：插件无法伪造Referer和Origin。插件需要从网站A获取数据并发送给网站B，但网站B接口要求请求头包含Referer、Origin和Token，而浏览器安全策略限制了插件设置或伪造这些请求头。

🔨现有进展：插件已成功获取网站B接口数据及其header，包括cookie和token。token可以手动构造。

⛔️已尝试方案及结果：使用iframe、XMLHttpRequest或fetch发起请求，以及手动构造header设置Referer/Origin均失败，均返回403错误，表明请求被拦截。

🎯寻求解决方案：希望找到在浏览器插件中绕过安全限制，向网站B接口发起含有真实Referer和Origin的请求的方法，以解决跨域请求问题。

问题描述：

最近在开发一个浏览器插件，遇到了一个暂时无法解决的问题。

场景如下：

我需要从网站 A 的接口获取部分数据（包括请求头信息），并在插件中处理后，将数据发送给网站 B 的接口。

网站 A 和 B 是两个独立域名，B 接口对请求有严格校验。

目前进展：

已成功通过插件获取 B 接口数据及其 header （包括 cookie ） Token 可以手动构造。

需要将处理后的数据通过插件发起请求提交给 B 接口。

问题难点：

B 接口校验非常严格，必须包含 Referer 、Origin 和 Token 三个参数，缺一不可（已手动验证）。

由于浏览器的安全策略，插件中无法设置或伪造 Referer 和 Origin 。

已尝试以下方案，但均返回 403：

使用 iframe 发起隐藏请求；

通过 XMLHttpRequest 或 fetch 发起请求；

手动构造 header 设置 Referer/Origin ，但浏览器直接拦截。

请求帮助：

请教各位大佬们有没有什么思路或方法，可以在浏览器插件中绕过这些限制，可以向 B 接口发起含有真实 Referer 和 Origin 的请求？