嘿，这个问题我之前帮好几个开发者搞定过——Chrome扩展有自己专属的权限机制，完全不用像普通网页那样靠服务器调整CORS配置！下面给你几个最实用的方案：

方案1：在扩展Manifest中声明主机权限（官方推荐，适用于生产环境） #

这是最规范、最安全的解决方式，Chrome会直接为你的扩展跳过CORS检查，只要你在manifest文件里明确允许访问目标服务器的域名。

如果你用的是Manifest V3（当前主流版本） #

在manifest.json里添加host_permissions字段，把你的服务器域名加进去：

{
  "manifest_version": 3,
  "name": "你的扩展名称",
  "version": "1.0",
  "host_permissions": [
    "https://your-own-server.com/*"  // 替换成你的服务器域名，*表示允许该域名下的所有路径
  ],
  // 其他扩展配置...
}

如果你还在使用Manifest V2（旧版本） #

直接把域名加到permissions数组里就行：

{
  "manifest_version": 2,
  "name": "你的扩展名称",
  "version": "1.0",
  "permissions": [
    "https://your-own-server.com/*"
  ],
  // 其他扩展配置...
}

添加完权限后，重新加载扩展，再发起Fetch请求就不会有CORS问题了。

方案2：开发阶段临时绕过（仅用于本地测试，禁止生产环境使用） #

如果你只是本地开发测试，不想改manifest或者还没配置好权限，可以通过启动Chrome时添加参数来临时禁用web安全检查：

• Windows系统：右键Chrome快捷方式 → 属性 → 目标栏末尾添加（注意前面加空格）：

  --disable-web-security --user-data-dir="C:\ChromeDevSession"
  

• Mac系统：打开终端，输入：

  open -a "Google Chrome" --args --disable-web-security --user-data-dir="/tmp/chrome_dev_session"
  

⚠️ 注意：这个方法会关闭Chrome的安全防护，只能用于本地开发测试，绝对不能让用户这么操作！

方案3：如果JSON文件是扩展包内的本地资源 #

要是你要获取的JSON是扩展自己包里的文件，根本不需要走网络请求，直接用chrome.runtime.getURL()获取本地路径即可，完全不会触发CORS：

fetch(chrome.runtime.getURL('data.json'))
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(err => console.error(err));

额外注意事项 #

• 不要在Fetch请求里加mode: 'no-cors'，虽然能绕过错误，但会导致你无法读取响应内容，毫无意义。
• 确保manifest里的域名和你请求的域名完全匹配（包括HTTP/HTTPS协议），比如你请求的是https://xxx.com，就不能写http://xxx.com。

内容的提问来源于stack exchange，提问作者Clout Hack