gpt4 book ai didi

security - 浏览器扩展可以读取/监视沙盒 iframe 内的内容吗?如果不是,我应该使用 iframe 来保护用户凭据吗?

转载 作者:行者123 更新时间:2023-12-02 19:16:09 24 4
gpt4 key购买 nike

除了所有其他典型的安全最佳实践之外,我对此感到好奇,因为我最近读了一些文章,讨论浏览器扩展如何监视用户所做的任何事情。所以我们不应该相信他们。

因此,为了给用户提供额外的保护,我是否应该在网页内的 iframe 内处理所有用户凭据和敏感信息?

最佳答案

Can content inside a sandboxed iframe be read/spied by browser extensions?

是的

Could I use iframe to secure user credentials?

快速回答,不。

当用户安装 Chrome 扩展程序时,该扩展程序基本上可以在网站中执行任何操作来访问用户凭据。该扩展程序还可以访问页面生成的 iframe。

我提出的解决这两个问题并保持网站“安全”的解决方案如下:

如果最终目标是保护用户将在网站中放置的内容,并且您决不想让用户在页面中运行其他类型的扩展程序时放置内容,那么您可以放置​​的是页面中的某种弹出窗口会阻止用户访问,直到他访问没有扩展程序的网站为止。

您可以向用户建议的另一个解决方案是进入隐身模式,因为有很多选项可以禁止隐身模式下的扩展,而不必强制他卸载浏览器上的所有扩展。这也可能会让更少的用户离开您的页面,就好像您强制他卸载浏览器上的扩展程序一样,如果对他来说没有足够明确的理由,可能会让他离开您的页面。

如果您确实知道哪些扩展程序不应被阻止或阻止,因为它们有害或已知具有某种可疑行为,您可以做的是检查用户是否使用此解决方案 Checking if user has a certain extension installed 安装了它们,并且然后向他打印一条消息,说明他必须卸载这些扩展才能继续。

关于security - 浏览器扩展可以读取/监视沙盒 iframe 内的内容吗?如果不是,我应该使用 iframe 来保护用户凭据吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52129451/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com