有什么方法可以存储Chrome扩展程序无法在任何情况下访问的数据(例如,CSRF令牌)吗?
理想情况下,即使天真的用户授予了对扩展程序的所有权限,我也希望存储保持安全的信息。
答案 0 :(得分:1)
我想知道是否有某个地方可供网页访问但扩展程序无法访问。
考虑所谓的页面级脚本。内容脚本可以inject a <script> tag into the page,它将在与页面相同的环境中执行。
然后,它可以提取您的假设安全数据,并communicate与扩展程序的其余部分一起提取。
更糟糕的是,你无法合理地阻止这种注射,因为ignores your page's CSP。