我有一个带有客户端 javascript 的 asp.net 网站,它向服务器发出大量 ajax 调用。有什么方法可以阻止 google chrome 扩展调用我的 ajax 端点或检测它们何时由 chrome 扩展代码而不是我自己的 javascript 代码创建。到目前为止,我已经使用 referer、httponly cookies 进行了测试,但是这两个调用之间没有区别。任何想法将不胜感激。
最佳答案
没有,没有。
Chrome 扩展程序具有更高的权限。他们“不允许”您的网站 JavaScript 代码,并可能操纵和调用它。
即使您添加了反 CSRF token 之类的东西,扩展仍然可以读取它并绕过该保护。他们可以在您的网站上运行 JavaScript 代码,并在不通知您或您的用户的情况下即时修改您自己的网站代码。
您唯一可以做的就是不信任客户端任何重要的事情,将您收到的所有请求视为恶意请求,并要求客户端在向您的服务器发出请求之前进行身份验证.
(我假设您指的是在您的网站上运行的 chrome 扩展程序)
关于javascript - 防止 chrome 扩展进行 ajax 调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17226463/