我的附加组件AsYouWish在每个页面中注入一个全局,以允许网站根据用户权限发出浏览器的特权请求。
我最近发现bookmarklet还可以访问这些注入的变量(以我描述的方式注入here)。
虽然这可能是一种很好的交互形式,以允许我的插件的用户,但我担心的是用户授予特定的受信任网站权限但恶意第三方向用户提供书签的情况用户针对受信任网站的上下文运行,从而无意中授予恶意代码权限(并创建一种XSS攻击)。
有没有办法阻止小书签获取对这些全局变量的访问权限,或者能够从我注入的方法中检测原始上下文是否是书签或其他?