【问题标题】:Security concerns when changing permissions in Chrome Extentions在 Chrome 扩展程序中更改权限时的安全问题
【发布时间】:2016-01-26 06:42:19
【问题描述】:

我正在开发一个基本上发送 XHR 请求并解析/显示传入 XML 的扩展。理想情况下,我想让用户输入他们想要发送请求的 URL,但要做到这一点,我相信每次用户输入新 URL 时我都需要更改 manifest.json 中指定的 URL。如果实施,是否有任何我应该注意的安全问题?如果不是,我认为将权限设置为*://*/* 可能会更容易。

【问题讨论】:

    标签: google-chrome-extension xmlhttprequest


    【解决方案1】:

    如果你让用户选择一个 URL,你有两种方法。

    1. 只允许在清单中使用"<all_urls>"(略强于"*://*/*")。除非您在做一些特别糟糕的事情(例如 eval 或使用 web_accessible_resources 暴露您的内部信息),否则唯一的安全风险就是您自己。

    2. 一种奇特的方法是使用optional permissions。您将"<all_urls>" 放入可选权限中,然后在运行时请求新主机的权限。

      优点:安装时没有可怕的对话框;让高级用户放心,因为他们知道他们只提供了细粒度的访问权限。

      缺点:每次需要新权限时都会出现权限对话框。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-09-24
      • 1970-01-01
      • 2017-04-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多