我正在编写一个小型 Chrome 扩展程序,我的问题主要是关于算法的。假设,我的扩展应该向我的服务器发送一些 AJAX 请求。有什么方法可以确保这个特定的 AJAX 请求是从我的扩展程序中准确接收到的?我的意思是,确保这不是用户通过伪造发送此请求。如有任何想法,我将不胜感激。
【问题讨论】:
标签: javascript ajax algorithm google-chrome-extension
您需要检查服务器上的请求来源,其中必须包含您的扩展 ID。 当您从扩展程序发送 AJAX 请求时,Origin 参数将如下所示
chrome-extension://<extension_id>
现在在服务器上你需要检查这个来源。 php中的示例
$extensionID = "YOUR_EXTENSION_ID";
$origin = $_SERVER['HTTP_ORIGIN'];
if (strpos($origin, $extensionID) === false) {
// exit from code
exit();
}
这里是完整的anwser 如何从请求中查找来源。 现在您的服务器将只接收来自您的扩展程序的 AJAX 请求。如果有人复制您的代码并从另一个扩展程序运行,您的服务器将不会处理该请求。
请注意,这将保护您免受来自其他扩展程序的伪造请求。用户仍然可以打开您的扩展后台页面并从控制台发送 AJAX 请求。
【讨论】: