出于安全考虑,我想知道Chrome扩展程序是否可以访问应用。我设计了一个处理敏感数据的Chrome应用。据我了解,该应用程序在沙盒环境中运行,应该相当孤立。如果用户错误地安装了恶意Chrome扩展程序,该扩展程序是否能够拦截/修改应用程序中的任何敏感数据?
请注意,我不会考虑Chrome环境之外的其他拦截方式,例如:一些允许某人获得root访问权限的病毒。我想了解Chrome应用程序比标准独立应用程序更容易被拦截的程度。
塞巴斯蒂安
答案 0 :(得分:1)
一方面,即使获得"debugger"权限,扩展程序也无法触及默认环境中应用程序的窗口(如检查/脚本注入)。你的当地"数据应该是安全的。
另一方面,我测试了它并得出结论 webRequest API 将捕获您发送的所有XHR 。
这包括请求和响应以及请求正文的标头。响应机构目前无法检查;但是,恶意扩展可以执行重定向,修改您的请求或取消它。
这是deemed a security issue;从Chrome 45开始,扩展程序无法再拦截来自其他扩展程序和应用程序的流量。托管应用程序也被意外包含在内,但it's a bug即将修复 - 托管应用程序的流量将照常开放webRequest。
我不知道在应用上进行窥探扩展的任何其他可能性(没有任何异常chrome://flag配置)。
答案 1 :(得分:0)