È una cattiva pratica usare iframe nell'estensione Chrome?

Questa non è la domanda più precisa che ho visto, ma immagino che con "usare iframe" intendevi "creare e iniettare iframe nella pagina del cliente", ho ragione?

Non direi che è una cattiva pratica o non sicura. La risposta se è accettabile o buona o cattiva soluzione dipende probabilmente dal caso d'uso. Notate che l'attuale standard WebExtensions vi permette cose del genere, ma solo con specifici iframe url, che dovete innanzitutto definire nel vostro file manifest.json.

Inoltre la cross-origin policy per gli iframe nei browser moderni non permette a voi e all'utente finale di fare alcun comportamento dannoso.

Questo significa che cose come questa non hanno nulla a che fare con la sicurezza.

Se vuoi mostrare qualcosa all'utente che non fa parte della sua pagina hai le seguenti opzioni:

• utilizzando JS modal/popup - buona soluzione perché ti dà innumerevoli possibilità di personalizzare lo stile e il comportamento di tale finestra. Lo svantaggio è che devi davvero concentrarti sul tuo stile reset.css per assicurarti che il tuo popup non intercetti nessuno stile dal sito corrente.
• utilizzando popup di estensione. Anche questa è una bella soluzione. C'è un contro però, non si può aprire programmaticamente questo popup - solo l'utente può attivarlo cliccando nella barra degli strumenti del browser
• utilizzando le notifiche del browser. Richiedi il permesso ['notifications'] nel tuo file manifest.json. Quindi creato da chrome.notifications.create Non perfetto per grandi pezzi di testo. Non in grado di visualizzare l'html. Solo testo grezzo + piccola immagine. Suona male ma in realtà questa è la soluzione migliore per la maggior parte dei casi.

Quindi come vedi: quello che usi dipende da quello che devi fare. Spero di averti chiarito abbastanza per aiutarti a decidere.