gpt4 book ai didi

security - Chrome 扩展程序是否可以访问 Chrome 应用程序?

转载 作者:行者123 更新时间:2023-12-02 03:23:48 25 4
gpt4 key购买 nike

出于安全考虑,我想知道 Chrome 扩展程序是否可以访问某个应用程序。我设计了一个处理敏感数据的 Chrome 应用程序。据我了解,该应用程序在沙盒环境中运行,该环境应该是相当隔离的。如果用户错误地安装了恶意 Chrome 扩展程序,该扩展程序是否能够拦截/修改应用中的任何敏感数据?

请注意,我不考虑 Chrome 环境之外的其他拦截方式,例如某些允许某人获得根访问权限或类似权限的病毒。我只想了解 Chrome 应用比标准独立应用更容易被拦截的程度。

塞巴斯蒂安

最佳答案

一方面,即使有"debugger" 权限,扩展程序也无法在默认环境中触及您应用程序的窗口(如检查/脚本注入(inject))。您的“本地”数据应该是安全的。

另一方面,我测试了它并得出结论 webRequest API 将捕获您发送的所有 XHR

这包括请求和响应的 header 以及请求正文。 react 体目前无法接受检查;但是,恶意扩展程序可以执行重定向、修改您的请求或取消请求。

这是 deemed a security issue ;从 Chrome 45 开始,扩展程序无法再拦截来自其他扩展程序和应用程序的流量。托管应用程序也意外包含在内,但是 it's a bug这将很快得到修复 - 来自托管应用的流量将照常向 webRequest 开放。

我不知道扩展程序是否有任何其他可能性来窥探应用程序(没有任何异常的 chrome://flag 配置)。

关于security - Chrome 扩展程序是否可以访问 Chrome 应用程序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31450304/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com