我想知道在后台页面中的变量中存储一些信息是否会引发安全问题?
网站或其他扩展程序是否可以访问这些变量?
我目前有一个带登录系统的扩展程序(我在localStorage中存储了密码的哈希值,因此我会在用户尝试连接到系统时比较哈希值)。 我正在考虑使用一个模块来扩展它,该模块会在内存中保留密码,直到注销或超时。我不想使用localStorage以明确的方式存储密码,所以我想将它存储在后台页面中,但可能会更糟......
如果这不安全,你能否就如何实施这样的模块给我一个提示?
谢谢。
答案 0 :(得分:5)
其他扩展程序和网站无法访问您的背景页面的存储空间,除非您自己实现此功能。
在分机的后台页面保存数据与Chrome的密码管理器一样安全。
Chrome将其凭据无需加密即可存储在profile directory/Default/Login Data
来自chrome.storage,localStorage,HTML5文件系统,IndexedDB等的数据保存在Chrome的个人资料目录中。有权访问您的个人资料目录的任何人都可以读取数据。任何打开背景页面的devtools的人都可以查看存储的值。
如果配置文件目录是安全的,则无需担心该方法的安全性 否则,您必须在便利性和安全性之间进行权衡。继续询问用户密码是否可以接受?然后尝试保存会话标识符,并在会话过期时请求凭据。或者使用oAuth。