我正在开发一个带有内容脚本的Chrome扩展程序,该内容脚本通过chrome.runtime.sendMessage将消息发送回背景页面,触发操作。
“背景”页面是仅接受来自我的内容脚本的消息,还是可以被发送相同消息的第三方脚本攻击以触发操作?
希望有人可以帮助我,努力加快速度,这是一个安全问题:)
答案 0 :(得分:2)
只有您的扩展程序会看到这些消息。
要将邮件发送到其他扩展程序,您必须specify its ID explicitly。
要从其他扩展程序接收消息,您必须声明chrome.runtime.onMessageExternal或chrome.runtime.onConnectExternal侦听器,而其他扩展程序必须明确指定您的ID。
另一个扩展程序可能会劫持您的唯一情况是,另一个扩展程序使用chrome.debugger API,但在这种情况下,Chrome会在所有网页上显示黄色警告。可以通过chrome://flags/#silent-debugger-extension-api标志手动手动禁用该警告。从理论上讲,复杂的恶意本机应用程序可能会默默地更改Chrome数据文件夹中的Local State文件。