在安装请求访问我所有标签和数据的Chrome扩展程序时,我可能有点偏执。虽然扩展程序目前可能是安全的,但简单的自动后台更新可能会使其成为恶意病毒,您甚至无法获得有关更新的通知。
我想将我的所有扩展程序列入白名单,以访问内容pear网页库。在我开始攻击我自己的扩展以自己控制它之前,是否已经存在任何此类工具(本机可能)。
这会让我接下来的问题。扩展可以有点安全运行沙盒环境,并且无法访问"真正的"文件系统(不是虚拟沙盒文件系统),但我可以编写一个NaCl插件并拥有完全访问权限并更改清单文件以更改content_scripts设置吗?如果是的话,你能指出我正确的方向吗?
答案 0 :(得分:0)
我不确定清楚地理解你的问题,但让我们对一些关于扩展以及它们如何变得危险的事情进行审查:
首先:如果扩展程序更新并希望获得新授权,Chrome会向您发出警告,您可以选择是否要更新
第二:计算机上运行的Chrome沙盒扩展程序
第三次:唯一可能对您的计算机构成真正危险的授权是请求授权“访问您计算机上的所有数据”的授权
。 如果您真的担心某些扩展可能对您构成危险(我理解您),您可以通过执行以下操作限制它们在特定网页上运行:
<强> 1 即可。转到扩展文件夹[C:\ Users(您的USERNAME)\ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Extensions(APPID)]并使用任何文本编辑器打开manifest.json文件
<强> 2 即可。在“content_scripts”声明中,在“匹配”中,指定扩展程序仅适用于的网站[例如:*://google.com/*将仅对google.com启用扩展程序]
您甚至可以更精确地设置特定的网址/ HTML网页(请参阅更多信息:https://developer.chrome.com/extensions/match_patterns)
希望它有所帮助!
如果没有,请再次澄清您的问题。