有没有办法从网站跟踪Chrome扩展程序的外发网络通信?
我们假设Chrome浏览器内容脚本'扩展将AJAX查询发送到指定IP上的服务器以创建自定义分析。当用户浏览各种网站时,此扩展程序可在浏览器中使用。
这些网站是否有可能跟踪扩展程序的作用(它打开AJAX)或将数据发送到何处? (它试图向哪个IP发送AJAX查询)
更新
要明确的是,我对独立的第三方网站的跟踪能力感到好奇,而不是扩展用户。
更新
更多说明:扩展程序向与服务器/网站无关的服务器发送请求。
实施例
用户每天都在浏览Youtube和Facebook。此扩展将AJAX查询发送到存储用户访问过的URL的存储服务器。 (Youtube和Facebook)。我想知道的是,f.e。 Facebook知道,这个扩展是这样做的,以及存储服务器的IP是什么?
答案 0 :(得分:2)
基本上,不,因为isolated world的概念。强调我的:
内容脚本在称为孤立世界的特殊环境中执行。他们可以访问注入页面的DOM,但不能访问页面创建的任何JavaScript变量或函数。它将每个内容脚本视为在其运行的页面上没有执行其他JavaScript。反过来也是如此:页面上运行的JavaScript无法调用任何函数或访问内容脚本定义的任何变量。
因此,如果您正在考虑执行类似覆盖XMLHttpRequest的操作,这将无效,因为内容脚本具有您无法触及的“安全港”。
甚至在将网络操作委托给后台脚本之前,这是一个完全不同的起源。
有一个例外:扩展有时可以inject code directly into the page context。然后它与网站JavaScript共存,理论上可以窥探另一个。然而,在实践中,扩展可以在任何网站代码有机会做出反应之前执行其代码,因此隐身/保护自己免受干扰。
答案 1 :(得分:0)
也许这有点矫枉过正,但您可以尝试使用Wireshark(或任何其他程序)嗅探自己的流量,并查看请求。如果他们使用 https 那么事情会变得更加困难,您将不得不解密流量。