我正在构建一个需要保留用户敏感数据的 chrome 扩展。
我知道你可以使用 HTML5,但它很容易受到 XSS 和其他形式的攻击。我最近发现了 chrome.storage但文档说:
Confidential user information should not be stored! The storage area isn't encrypted.
现在我的问题是:
最佳答案
默认 content security policy假设您没有做任何非常愚蠢的事情,几乎可以保护您免受 XSS 攻击。您可以使用某种库来加密本地数据并让用户输入密码来解密数据。此时的攻击媒介更多地围绕计算机上的恶意软件和其他具有物理访问权限的人。 Chrome 扩展程序本身受到其他网站的良好保护。
但最终,无论您做什么,安装在计算机上或有权访问计算机的任何东西都有可能访问私有(private)信息。我的建议是确保用户了解所存储数据的敏感程度,并且他们需要在访问计算机时采取适当的安全预防措施。
关于html - 在 Chrome 扩展中使用 localStorage 或 chrome.storage 的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20130126/