我有一个相当受欢迎的Chrome扩展程序,随着时间的推移,我收到了用户的零星报告,这个扩展程序是恶意软件,当然不是。 我最近了解到,有些恶意软件程序会更改chrome扩展程序的文件并将其转换为恶意软件。 有什么方法可以保护我的扩展免受这种变化的影响吗?
感谢。
答案 0 :(得分:0)
你没必要!
Chrome有一个防止它的内置机制。从Web Store安装的任何扩展都将包含所有文件的签名哈希值。
在Chrome加载扩展程序的任何时候,都会检查这些哈希值,如果修改了任何文件,Chrome会将该扩展程序标记为可能已泄露,将其禁用并警告用户未经授权的更改。
也就是说,这只会保护扩展程序中的静态文件。
如果您依赖外部脚本,则有责任保护他们免受中间人攻击。 Chrome的default extension CSP可以很好地抵御最严重的违规者,但仍然 - 如果您使用动态代码,您有责任保护它,特别是如果您覆盖CSP。
最后,如果您使用的是本机主机模块,则它不受保护。将其视为不受信任。