[英]How to write a secure NPAPI plugin that would interact only with a specific chrome extension?
我想寫一個chrome擴展,它會自動(沒有用戶交互)根據某個事件從本地存儲中讀取和上傳文件。 據我所知,由於Web和瀏覽器的安全模型,這不可能直接實現。
在線研究后,我發現這可以通過NPAPI插件實現。 根據我的理解,我可以編寫一個chrome擴展,它將與NPAPI插件進行交互(通過NPRuntime API),並請求上傳文件。 插件將檢索文件並使用文件數據進行響應。
問題1:架構是否構成了一種合理/有效的方式來實現我的任務?
如果是這樣,那么我關心的是這種方法的安全性。
問題2:由於我的插件會從(和寫入)本地存儲中讀取(也可能是寫入)內容,我將如何以安全的方式對其進行編碼,以免被其他惡意網站/擴展程序濫用? 我的插件應僅適用於我的擴展程序,而不適用於任何其他網站/擴展程序。 我怎么做到這一點? 換句話說,我應該采取什么樣的措施來保護我的chrome擴展和NAAPI插件之間的交互,以便沒有惡意攻擊的空間?
一些FireBreath用戶已經創建了帶有FireBreath的插件,可以與Chrome一起使用,並將它們打包到Chrome擴展程序(CRX)中。 如果您在擴展程序中使插件“私有”,則只有該Chrome擴展程序可以使用該插件。 請注意,沒有其他瀏覽器支持此方法。
您當然可以使用任何其他NPAPI插件執行相同的操作,但是當您不必自己實現所有內容時,FireBreath會為您節省大量時間。
如何在Firefox和Chrome中檢測首次加載NPAPI插件/擴展
[英]How to detect first loading of NPAPI plugin/Extension in firefox and chrome
使用NPAPI插件將XPCOM Firefox擴展移植到Chrome擴展
[英]Porting XPCOM Firefox extension to Chrome extension with NPAPI plugin
顯示與NPAPI插件交互的Chrome擴展程序的進度對話框
[英]Showing a progress dialog for a Chrome extension that interacts with an NPAPI plugin
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
