logo
1

【技术分享】使用千帆appbuilder的新功能JS网站嵌入和cursor开发一个智能体浏览器插件。

千帆appbuilder新功能——可以通过JavaScript快速将智能体嵌入网站啦。

因为近期正在学习使用cursor编程,加上今天来使用appbuilder进行应用开发的时候,忽然发现appbuilder更新了这个新功能——网站嵌入,就像这样。但是这个功能是给网站开发者使用的,我们无法在任何常用的网页使用。

于是我灵机一动,那我们能否将智能体直接做成一个浏览器插件呢?这样我就可以随时在我想要用到我某个智能体的网站随时来启用和他的对话,这样效率更高,不用开启多个窗口就可以即时和我的agent交流了。

OK,话不多说,我们直接开始
1.做一个agent应用,这里我就用AI快速生成了。比如,我这里生成了一个智能文本助手。点击发布。
2.发布页面点击新增网站,,填写网站名称和域名。域名这里我就准备填百度百家号的一级域名。点击获取嵌入代码,并复制。

到这里,我们就完成了appbuilder端的所有动作。你只需要在配置域名时填写你想使用的那个网站即可。接下来就是cursor的部分。

1.下载安装注册登录cursor。这里我就不展开介绍,具体的安装方法可以自行搜索。
2.新建一个智能体插件的文件夹,从cursor打开这个文件夹。
3.点击键盘上的ctrl+i,唤起对话框。准备开始说我们的需求。
我们可以告诉cursor:
  
  
请帮我做一个谷歌浏览器插件,插件的功能是打开任何网页后,网页会被嵌入一个JS,该JS会将聊天应用嵌入悬浮在该网页上,该JS的内容是<!-- 以下代码请放入前端html文件的body内 -->
<script src="https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js?responseExpires=0"></script>
<script>
new EmbedLiteSDK({appId: 'xxxxxx', code: 'xxxxxx'});
</script>,
请你帮我制作这个浏览器插件。
这时,cursor就开始自动为我们生成代码了。
然后他回复我以下内容,这也是谷歌浏览器中的的操作步骤。
  
  
我来帮你创建一个谷歌浏览器插件。我们需要创建几个文件来实现这个功能。
首先创建一个manifest.json文件,这是插件的配置文件:
然后创建content.js文件,这个文件负责注入聊天功能:
使用说明:
创建一个新文件夹,将上述两个文件放入其中
打开Chrome浏览器,进入扩展程序页面(chrome://extensions/)
开启右上角的"开发者模式"
点击"加载已解压的扩展程序",选择你创建的文件夹
现在这个插件就已经安装好了,访问任何网页都会自动加载聊天功能
注意事项:
插件使用了Manifest V3,这是Chrome最新的插件标准
content.js会在每个页面加载时自动运行
使用content_scripts确保脚本在页面加载完成后注入
如果遇到某些网站的内容安全策略(CSP)限制,可能需要在manifest.json中添加相应的权限
需要任何修改或有其他问题,请随时告诉我。
点击接受所有
他给我出的文件包括了图标文件,但是我没有,所以我告诉他让他用其他方法替代。
这时我们来测试一下。
发现插件图标是灰色的,而且百家号新闻网页刷新后也没有显示悬浮窗口。这时我们再继续和cursor对话。告诉他:插件没有启动按钮,并且打开网页后没有显示聊天的悬浮窗口。请你检查优化。
然后他继续帮我优化:
  
  
我来帮你修改插件,添加启动按钮并确保聊天窗口正确显示。
首先,我们需要修改 manifest.json 添加 action(按钮)配置:
然后,我们需要创建 background.js 来处理按钮点击事件:
最后,修改 content.js 来控制聊天窗口的显示:
主要改动说明:
manifest.json 中添加了 action 配置,这会在浏览器工具栏显示一个按钮
新增了 background.js 来处理按钮点击事件
修改了 content.js,现在只有在点击插件按钮时才会初始化聊天窗口
添加了状态追踪,避免重复初始化聊天窗口
使用方法:
将这些更新后的文件放入插件目录
在 Chrome 扩展管理页面重新加载插件
访问任何网页,点击浏览器工具栏上的插件图标即可显示聊天窗口
如果聊天窗口仍然没有显示,可能需要检查:
确认网络连接是否正常
2. 检查控制台是否有错误信息
确认提供的 appId 和 code 是否有效
需要任何调整或遇到问题,请告诉我。
此时我点击接受所有,并重新加载插件。
如此重复多次。你就离成功越来越近。需要注意的是,插件开发过程中需要给cursor提供的信息可以是网页控制台警告报错,还有插件管理页面的错误,多次重复以上动作提供报错信息给cursor。不断优化。就完成啦
这里我把我和cursor对话的全部内容全部放在这里,供大家参考学习:
  
  
我:
我要做一个谷歌浏览器插件,功能是在任何网页上都能嵌入这段代码:<!-- 以下代码请放入前端html文件的body内 -->
<script src="https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js?responseExpires=0"></script>
<script>
new EmbedLiteSDK({appId: 'xxxxx', code: 'xxxxx'});
</script>,这段代码的目的请参阅@https://cloud.baidu.com/doc/AppBuilder/s/hm202zkxz 。请你帮我设计一个界面美观,用户可以自定义配置appId和code的插件。并且需要增加一个启动关闭按钮,不需要图标文件的插件。
cursor:
我来帮你设计一个Chrome插件。以下是具体实现方案:
首先创建manifest.json文件:
创建popup.html作为配置界面:
创建popup.js处理配置界面的逻辑:
创建content.js处理网页中的嵌入逻辑:
这个插件的主要特点:
简洁的配置界面,可以设置AppID和Code
带有启用/禁用开关
设置会自动保存到Chrome存储中
可以在任意网页动态注入/移除AppBuilder对话窗口
使用Material Design风格的界面元素
支持实时更新配置
使用方法:
创建一个新文件夹,将上述所有文件放入
在Chrome浏览器中打开扩展程序页面(chrome://extensions/)
开启开发者模式
点击"加载已解压的扩展程序",选择包含这些文件的文件夹
点击工具栏中的插件图标,在弹出的配置页面中:
输入AppID和Code
使用开关控制是否启用嵌入功能
点击保存按钮应用设置
插件会自动在当前网页中注入或移除AppBuilder对话窗口。
我:
错误
Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
上下文
https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_9068846363284248926%22%7D&n_type=-1&p_from=-1
堆叠追踪
content.js:40 (injectEmbed)
content.js:7 (匿名函数),控制台报错:content.js:40 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
cursor:
这个错误是由于 Chrome 扩展的内容安全策略(CSP)限制导致的。我们需要在 manifest.json 中添加相应的权限来允许加载外部脚本。让我修改一下配置:
同时,我们需要修改 content.js 中注入脚本的方式,使用 chrome.scripting API:
主要更改:
在 manifest.json 中:
添加了 host_permissions 以允许访问百度云的域名
添加了 content_security_policy 配置
在 content.js 中:
修改了脚本注入方式,使用内联脚本的方式来加载外部SDK
改进了清理逻辑,确保能完全移除注入的脚本
这些修改应该能解决 CSP 的限制问题。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
content.js:42 Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Either the 'unsafe-inline' keyword, a hash ('sha256-QLfUBJ75T8J7HVvgSHe7HEg0wXjZY47T6a/NSNzX/48='), or a nonce ('nonce-...') is required to enable inline execution.
cursor:
让我们尝试另一种方法来注入脚本。我们将修改 manifest.json 和 content.js:
主要更改:
manifest.json:
添加了 scripting 权限
简化了权限配置,移除了 CSP 相关配置
扩展了 host_permissions
content.js:
使用 chrome.scripting API 来执行脚本
改用异步函数处理脚本注入
添加了错误处理
使用 Promise 来处理脚本加载
这种方法应该能绕过 CSP 的限制,因为我们使用的是 Chrome 扩展的 scripting API 来注入代码。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
content.js:81 Uncaught (in promise) TypeError: Cannot read properties of undefined (reading 'executeScript')
at removeEmbed (content.js:81:26)
at injectEmbed (content.js:24:9)
at content.js:16:7
cursor:
抱歉,我发现问题了。在 content script 中不能直接使用 chrome.scripting API。我们需要创建一个 background script 来处理这些操作。让我们修改代码:
首先更新 manifest.json:
创建新的 background.js:
修改 content.js:
主要更改:
添加了 background.js 作为服务工作进程
将 chrome.scripting API 的调用移到了 background script 中
使用消息传递机制在 content script 和 background script 之间通信
简化了代码结构,移除了不必要的异步操作
这样修改后应该能解决之前的错误。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
content.js:35 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
injectEmbed @ content.js:35
await in injectEmbed
(匿名) @ content.js:15
显示另外 2 个框架
收起
content.js:56 Failed to inject script: Event {isTrusted: true, type: 'error', target: script, currentTarget: script, eventPhase: 2, …}
cursor:
我明白了,让我们改变策略,将SDK的加载也移到background script中处理。修改如下:
主要更改:
content.js:
移除了直接操作DOM的代码
简化为只发送消息给background script
background.js:
添加了完整的SDK注入和清理逻辑
使用 chrome.scripting.executeScript 来处理所有DOM操作
添加了错误处理
使用Promise来处理异步操作
这种方式应该能解决CSP的限制,因为所有的脚本注入都是通过chrome.scripting API来完成的。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
VM356:7 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
VM357:2 Uncaught ReferenceError: EmbedLiteSDK is not defined
at <anonymous>:2:36
at <anonymous>:6:9
(匿名) @ VM357:2
(匿名) @ VM357:6
cursor:
我明白了问题所在。让我们尝试使用fetch来获取SDK内容,然后通过blob URL注入。修改background.js:
同时,我们需要在manifest.json中添加fetch权限:
主要更改:
background.js:
使用fetch获取SDK内容而不是直接加载外部脚本
通过textContent注入SDK代码
添加了延时确保SDK加载完成
改进了错误处理和清理逻辑
manifest.json:
添加了fetch权限
将background script设置为module类型
这种方式应该能绕过CSP的限制,因为我们是直接注入代码而不是加载外部脚本。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
Permission 'fetch' is unknown or URL pattern is malformed.{
"manifest_version": 3,
"name": "百度智能云AppBuilder嵌入助手",
"description": "在任意网页中嵌入百度智能云AppBuilder对话窗口",
"version": "1.0",
"permissions": [
"activeTab",
"storage",
"scripting",
"fetch"
],
"host_permissions": [
"https://agi-dev-platform-web.bj.bcebos.com/*",
"<all_urls>"
],
"action": {
"default_popup": "popup.html"
},
"background": {
"service_worker": "background.js",
"type": "module"
},
"content_scripts": [
{
"matches": ["<all_urls>"],
"js": ["content.js"]
}
]
}
cursor:
抱歉,我的错误。在 Chrome 扩展中不需要显式声明 fetch 权限。让我们修改 manifest.json:
主要更改:
移除了不存在的 "fetch" 权限
保留其他所有配置不变
fetch API 是默认可用的,只要我们有正确的 host_permissions 就可以了。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:
VM408:4 Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Either the 'unsafe-inline' keyword, a hash ('sha256-WeX290RsWyOWsgJJnIhVbZygbFg+MoI1DRjrX96fKqM='), or a nonce ('nonce-...') is required to enable inline execution.
(匿名) @ VM408:4
(匿名) @ VM408:5
VM409:8 Failed to initialize SDK: ReferenceError: EmbedLiteSDK is not defined
at <anonymous>:3:38
at <anonymous>:10:9
cursor:
让我们尝试另一种方法,使用 Blob URL 来注入脚本。修改 background.js:
主要更改:
使用 world: 'MAIN' 确保脚本在主页面上下文中执行
直接通过 src 属性加载 SDK 脚本
使用 Promise 等待 SDK 加载完成
4. 增加了等待时间,确保 SDK 完全加载
添加了更多的错误检查和处理
这种方法应该能解决 CSP 的限制,因为我们是通过 src 属性加载外部脚本,而不是使用内联脚本。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:VM465:17 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
cursor:
让我们在 manifest.json 中添加 CSP 配置来允许加载外部脚本:
主要更改:
添加了 content_security_policy 配置,允许加载来自百度云的脚本
添加了 web_accessible_resources 配置,允许网页访问扩展的资源
在 CSP 中添加了 unsafe-inline 和 unsafe-eval 以允许动态脚本执行
这些更改应该能解决 CSP 的限制。请重新加载扩展并测试。如果还有其他问题,请告诉我。
我:VM519:17 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
cursor:
让我们尝试一个不同的方法,先将SDK下载到扩展中,然后通过web_accessible_resources来加载。
首先创建一个新文件 embedLiteSDK.js:
然后修改 background.js:
修改 manifest.json:
使用步骤:
运行扩展,查看控制台输出的SDK内容
创建 embedLiteSDK.js 文件,将SDK内容复制进去
3. 重新加载扩展
这种方法应该能解决CSP的限制,因为我们是从扩展本身加载脚本。请按步骤操作并测试。如果还有其他问题,请告诉我。
我:这次不报错了,但是没有显示这个悬浮在网页右侧的悬浮对话窗口
cursor:
让我们直接在 embedLiteSDK.js 中放入完整的 SDK 代码。我已经从百度云的 URL 获取了 SDK 内容:
同时,让我们修改一下 background.js 中的初始化代码,确保正确创建悬浮窗口:
主要更改:
在 embedLiteSDK.js 中添加了完整的SDK代码
在初始化SDK时添加了更多的错误处理和日志
确保在创建新实例前调用 destroy() 方法清理旧实例
移除了不再需要的 downloadSDK 函数
请重新加载扩展并测试。现在应该能看到悬浮窗口了。如果还有问题,请查看控制台是否有错误信息并告诉我。
我:
没有错误信息,但是还是不显示这个悬浮窗口,请你阅读这个技术文档@https://cloud.baidu.com/doc/AppBuilder/s/hm202zkxz 是否能给你参考?
cursor:
根据百度智能云的文档,我注意到有两种嵌入方式:全页面和聊天气泡。我们需要的是聊天气泡的形式。让我们修改 embedLiteSDK.js 的内容:
主要更改:
使用了正确的 EMBED_URL
按照文档设置了正确的悬浮窗口样式和位置
实现了完整的消息通信机制
添加了更新选项和销毁实例的方法
这个实现基于文档中提到的聊天气泡形式,会在页面右下角显示一个悬浮的对话窗口。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
参考文档:百度智能云 AppBuilder 网站嵌入文档
其实不需要你额外去设置,现在点击开启图标后并非官网提供的本来的东西,你需要做的就是<!-- 以下代码请放入前端html文件的body内 -->
<script src="https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js?responseExpires=0"></script>
<script>
new EmbedLiteSDK({appId: 'xxxxxxxx', code: 'xxxxxxx'});
</script>
cursor:
明白了,我们不需要自己实现 SDK,只需要加载官方的 SDK 并初始化它。让我们简化代码:
主要更改:
移除了自定义的 embedLiteSDK.js 文件
直接使用官方的 SDK URL
简化了注入和清理逻辑
同时,我们需要更新 manifest.json,移除不再需要的配置:
主要更改:
移除了 web_accessible_resources
移除了 type: "module"
现在应该可以正确加载和显示官方的悬浮对话窗口了。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
控制台报错:VM913:14 Refused to load the script 'https://agi-dev-platform-web.bj.bcebos.com/ai_apaas/embed/output/embedLiteSDK.js?responseExpires=0' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
cursor:
让我们在 manifest.json 中添加 CSP 配置来允许加载外部脚本:
主要更改:
添加了 content_security_policy 配置
在 CSP 中明确允许加载来自 agi-dev-platform-web.bj.bcebos.com 的脚本
这应该能解决 CSP 的限制。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
未能成功加载扩展程序
文件
~\Desktop\插件1
错误
'content_security_policy.extension_pages': Insecure CSP value "https://agi-dev-platform-web.bj.bcebos.com" in directive 'script-src'.
无法加载清单。
cursor:
抱歉,我明白了问题。在 Manifest V3 中,CSP 的规则更加严格。让我们尝试另一种方法,不使用 CSP,而是通过 fetch 获取 SDK 内容:
同时修改 background.js:
主要更改:
移除了 manifest.json 中的 CSP 配置
使用 fetch 获取 SDK 内容,然后通过 textContent 注入
在同一个执行上下文中注入 SDK 和初始化代码
这种方法应该能避免 CSP 的限制。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
VM967:5 Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Either the 'unsafe-inline' keyword, a hash ('sha256-WeX290RsWyOWsgJJnIhVbZygbFg+MoI1DRjrX96fKqM='), or a nonce ('nonce-...') is required to enable inline execution.
(匿名) @ VM967:5
(匿名) @ VM967:20
VM967:19 Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Either the 'unsafe-inline' keyword, a hash ('sha256-ivFPr2XBEBUqkB7LuP+xDuj9qYfgkQSb/w1iBw3LwXg='), or a nonce ('nonce-...') is required to enable inline execution.
cursor:
让我们尝试一个不同的方法,通过创建 blob URL 来注入脚本:
主要更改:
使用 Blob URL 来加载脚本,而不是直接使用 textContent
为 SDK 和初始化代码分别创建 Blob URL
在脚本加载完成后清理 Blob URL
在清理时也检查并移除 blob URL 的脚本
这种方法应该能绕过 CSP 的限制,因为我们使用的是 URL 而不是内联脚本。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
Refused to load the script 'blob:https://mbd.baidu.com/d49c1a12-c476-49cb-853a-8a2fee2a412a' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
(匿名) @ VM1012:33
(匿名) @ VM1012:34
VM1017:33 Refused to load the script 'blob:https://mbd.baidu.com/fe67d13d-3e19-4b3d-89ee-ad1417f922a8' because it violates the following Content Security Policy directive: "script-src 'self' 'wasm-unsafe-eval' 'inline-speculation-rules' http://localhost:* http://127.0.0.1:*". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
cursor:
让我们尝试使用 chrome.scripting.executeScript 的 world 和 files 选项来解决这个问题。首先,我们需要修改 manifest.json 来添加 web_accessible_resources:
然后创建一个新文件 inject.js:
最后修改 background.js:
主要更改:
创建了一个新的 inject.js 文件来处理 SDK 的加载和初始化
使用 chrome.scripting.executeScript 的 files 选项来注入 inject.js
使用 world: 'MAIN' 确保脚本在主页面上下文中执行
简化了代码结构,移除了 blob URL 相关的代码
这种方法应该能绕过 CSP 的限制。请重新加载扩展并测试。如果还有问题,请告诉我。
我:
现在插件可以正常工作了,但是我需要你帮我美化一下它的界面,1.新增一个html页面专门用来配置参数,2.新增文字的使用说明放在插件的面板最下面。简要说明步骤即可。3。另外美化其他设计和优化插件。
cursor:
好的,我来帮你美化和优化插件。以下是具体步骤:
首先创建一个新的配置页面 options.html:
修改 popup.html,美化界面并添加说明:
在 manifest.json 中添加选项页面:
创建 options.js 处理配置页面的逻辑:
修改 popup.js 添加打开设置页面的功能:
主要改进:
创建了独立的配置页面,提供更好的配置体验
美化了popup界面,添加了设置按钮和帮助说明
添加了视觉反馈(保存成功提示)
改进了开关按钮的样式
添加了链接到官方文档的帮助链接
使用了更现代的UI设计和配色方案
这些改进应该能提供更好的用户体验。请重新加载扩展并测试。如果还需要其他改进,请告诉我。
最终效果:

大家可以充分发挥自己的创意,通过和cursor的不断交互,优化插件功能和界面。

评论
用户头像