我有一个asp.net网站,客户端javascript会将大量的ajax调用回服务器。有什么方法可以阻止谷歌Chrome扩展程序调用我的ajax端点或检测它们是由chrome扩展代码而不是我自己的javascript代码制作的。到目前为止,我已经使用referer,httponly cookies进行了测试,但两次调用之间没有区别。任何想法都将不胜感激。
答案 0 :(得分:3)
否,没有。
Chrome扩展程序具有提升的权限。他们“允许”您的网站JavaScript代码并可以操纵和调用它。
即使您添加类似反CSRF令牌的内容,扩展程序仍然可以读取它并绕过该保护。他们可以在您的网站上运行JavaScript代码,并在不通知您或您的用户的情况下动态修改您自己的代码。
您唯一能做的就是不信任客户端任何关键的内容,将您收到的所有请求视为敌意,并要求客户端在向服务器发出请求之前进行身份验证
(我假设您的意思是在您的网站上运行Chrome扩展程序)