使用Chrome扩展程序注入javascript这么容易吗?
[英]Should it be so easy to inject javascript with a Chrome extension?
原文
2018-01-22 10:47:27
8
1
javascript/
google-chrome/
google-chrome-extension/
content-security-policy/
websecurity
问题描述
作为安全测试的一部分,我构建了一个非常基本的Chrome扩展程序,目的是能够读取安全的cookie以及localStorage数据。 我设法使它起作用,这本身是一件很糟糕的事情,但是,在构建时,我使用了以下代码:
chrome.tabs.executeScript(tabs[0].id, {code: '...'});
现在,根据我的理解 ,只要用户同意了权限,这行代码实际上将允许您执行页面上的所有javascript。
这样,即使启用了CSP标头,任何人都可以很容易地创建扩展来完成我上面所做的事情。
使用扩展名将Javascript注入网页是否容易吗? 当然不是!?
请记住,我的扩展程序已在我的计算机上以开发人员模式运行,并且尚未将其发布到Chrome商店中,但是我没有看到有关扩展程序被批准的任何信息,只是它们已被批准并可以立即使用。
如果设计使之有可能发生,是否有任何方法可以防止这种情况发生? 是否有任何CSP标头等可以帮助防止这种情况?
非常感谢大家
1 个解决方案
解决方案1
2 已采纳 2018-01-22 10:57:13
正如Chirag Ranvindra在评论中提到的那样:
浏览器扩展通常会绕过普通网站上设置的所有安全功能
Google声明,用户需要自行承担安装Google Chrome扩展程序的风险 ,对于大多数允许使用插件,插件,mod或类似内容的软件,情况是如此。
为了减少用户安装具有潜在风险的扩展程序的机会,会向用户发出几条警告,例如安装前要求的权限,提醒“开发人员”扩展程序可能会带来安全风险,并作为其条款的一部分。和条件,可以并且确实停用违反其扩展指南的扩展。
请参阅Google Chrome条款 ,特别是“ 20. Google Chrome扩展的附加条款”。
与下载的任何程序一样,您应认真考虑是否有必要安装,以及是否来自著名的开发人员。 我建议仅通过Google Chrome扩展程序官方网站商店安装扩展程序
Chrome 扩展程序:如何将 CSS 和 Javascript 注入某个 URL?
[英]Chrome Extension: How do I inject CSS and Javascript into a certain URL?
Chrome扩展程序:可以在安全页面中注入外部JavaScript吗?
[英]Chrome Extension: Possible to Inject External JavaScript in Secured Pages?
chrome扩展在任何其他js之前在头顶注入javascript
[英]chrome extension inject javascript at top of head before any other js
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.