我正在构建一个需要持久保存用户敏感数据的chrome扩展程序。 我知道您可以使用HTML5,但它很容易受到XSS攻击,并可能遭受其他形式的攻击。我最近发现了chrome.storage,但文档说:
不应存储机密用户信息!存储区域 没有加密。
现在我的问题是:
答案 0 :(得分:4)
默认content security policy可以保护您免受XSS的影响,假设您没有做任何非常愚蠢的事情。您可以使用某种库来加密本地数据,并使用户输入密码来解密数据。此时的攻击媒介更多地是计算机上的恶意软件和其他具有物理访问权限的人。 Chrome扩展程序本身可以很好地保护其他网站。
但最终,无论您做什么,计算机上安装的任何内容或访问计算机的内容都有可能访问私人信息。我的建议是确保用户了解存储数据的敏感程度,以及他们需要在访问计算机时保持适当的安全预防措施。