我很好奇 chrome 扩展叠加层是否安全且纯净地交付,以及是否有人可以“监听”内部事件。
如果用户通过 chrome 扩展程序输入密码,我能保证没有其他浏览器脚本记录密码吗?我将使用 2FA 对密码进行哈希处理,以便网络请求是安全的,但我很好奇是否有人可以获得 <input>
的 innerHtml|在页面操作中。
我问是因为我知道如果 iFrame 托管在一个不安全的环境中,通常它们是不安全的,在那里它们可以被相似的、中间人、网络钓鱼调色板“替换”
谢谢
最佳答案
只有当您将某些元素注入(inject)到网页中时,它才会成为网页的一部分(例如注入(inject)的代码 <script>
),对任何其他页面脚本开放。
扩展的内部页面和脚本,如页面操作或工具栏弹出窗口或背景页面,甚至内容脚本环境(变量/函数)都无法从网络访问。除了少数异常(exception),您甚至不能在扩展程序中直接从另一个访问一个,因为它们就像不同的选项卡/窗口:应该使用消息传递。
网页要知道您的扩展中发生了什么,唯一的方法就是明确地向它提供您的扩展中的信息。例如,您必须通过 DOM 消息传递显式发送信息。或者通过明确的 externally_connectable机制。
关于ssl - 页面操作是否可以进行键盘记录,或者它们是否安全、独立地交付,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38802175/