我为谷歌浏览器编写了一个扩展程序,它通过console.log
将内容写入其后台页面的控制台。任何其他扩展程序是否可以访问我在那里写的数据,或者它们是否安全?
我猜答案是“没有其他扩展程序可以访问此内容,只有您的扩展程序(和用户)”;但我无法找到权威来源。
答案 0 :(得分:2)
使用默认标记,浏览器将拒绝(无声)访问使用公共API的其他扩展/应用的chrome-extension://
页面。
有些标记可以覆盖此标记(例如silent-debugger-extension-api
标记chrome.debugger
},但它需要用户操作(或可以更改Chrome启动器参数的本地攻击)。< / p>
此外,还有私有API允许Chrome Apps & Extensions Developer Tool之类的功能运行,但作为私有API,只有Google列入白名单的应用才能访问。
最后,只要通过用恶意副本替换console
对象打开DevTools,extensions that extend DevTools就可能转移控制台输出。它不太可能,我没有测试过,但理论上可行。