是否有任何方法可以存储在任何情况下 Chrome 扩展程序都无法访问的数据(例如 CSRF token )?
理想情况下,即使天真的用户向扩展程序授予了所有权限,我也希望存储能够保持安全的信息。
最佳答案
I was wondering if there was somewhere that was accessible to the page but inaccessible to an extension.
考虑所谓的页面级脚本。内容脚本可以 inject a <script>
tag into the page ,并且会在与页面相同的环境中执行。
然后它可以提取您假设的安全数据和 communicate与扩展的其余部分。
更糟糕的是,您无法合理地阻止这种注入(inject),因为它 ignores your page's CSP .
关于javascript - Chrome 扩展程序无法访问数据存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28227093/