É uma má prática usar iframe na extensão cromada?

Esta não é a pergunta mais precisa que eu vi mas acho que por "usar iframe" você quis dizer "criar e injetar iframe na página do cliente", estou certo?

Eu não diria que é uma má prática ou não segura. A resposta se for aceitável ou boa ou má solução depende provavelmente do caso de uso. Note que o padrão atual do WebExtensions permite coisas assim, mas somente com url's iframe específicas, que você precisa definir no seu manifesto.json file.

Apenas a política de origem cruzada para iframes em navegadores modernos permite que você e também o seu usuário final não tenham nenhum comportamento malicioso.

Isso significa que coisas como essa não tem nada a ver com segurança.

Se você quiser exibir qualquer coisa para o usuário que não faça parte de sua página você tem as seguintes opções:

>ul>li>usando JS modal/popup - boa solução porque lhe dá inúmeras possibilidades de personalizar o estilo e comportamento de tal janela. A desvantagem é que você tem realmente o foco no seu estilo reset.css para ter certeza que seu popup não interceptará nenhum estilo do site atual.using extension popups. Esta também é uma boa solução. No entanto, há um con, você não pode abrir programticamente este popup - somente o usuário pode acioná-lo clicando na barra de ferramentas do navegadorusing browser notification. Requer permissão ['notificações'] no seu arquivo manifest.json. Então criado por chrome.notifications.create Não é perfeito para grandes pedaços de texto. Não é capaz de exibir html. Apenas texto bruto + imagem pequena. Soa mal mas na verdade esta é a melhor solução para a maioria dos casos.

Então como você vê: o que você usa depende do que você precisa fazer. Espero ter esclarecido o suficiente para o ajudar a decidir.