【问题标题】:Security concerns when changing permissions in Chrome Extentions在 Chrome 扩展程序中更改权限时的安全问题
【发布时间】:2016-01-26 06:42:19
【问题描述】:
我正在开发一个基本上发送 XHR 请求并解析/显示传入 XML 的扩展。理想情况下,我想让用户输入他们想要发送请求的 URL,但要做到这一点,我相信每次用户输入新 URL 时我都需要更改 manifest.json 中指定的 URL。如果实施,是否有任何我应该注意的安全问题?如果不是,我认为将权限设置为*://*/* 可能会更容易。
【问题讨论】:
标签:
google-chrome-extension
xmlhttprequest
【解决方案1】:
如果你让用户选择一个 URL,你有两种方法。
只允许在清单中使用"<all_urls>"(略强于"*://*/*")。除非您在做一些特别糟糕的事情(例如 eval 或使用 web_accessible_resources 暴露您的内部信息),否则唯一的安全风险就是您自己。
-
一种奇特的方法是使用optional permissions。您将"<all_urls>" 放入可选权限中,然后在运行时请求新主机的权限。
优点:安装时没有可怕的对话框;让高级用户放心,因为他们知道他们只提供了细粒度的访问权限。
缺点:每次需要新权限时都会出现权限对话框。