我很好奇Chrome扩展程序覆盖是否安全且无掺杂,以及是否有人可以“倾听”内部事件。
如果用户要通过Chrome扩展程序输入密码,我可以保证没有其他浏览器脚本记录密码吗?我将使用2FA哈希密码,因此网络请求是安全的,但我很好奇是否有人可以在页面操作中获取"Id","CreatedById","CreatedDate","End_Date__c","Future_Sale_Cycle__c","IsDeleted","LastModifiedById","LastModifiedDate","LastReferencedDate","LastViewedDate","Name","OwnerId","Start_Date__c","SystemModstamp"
"a4N900000004PXrEAM","005900000041XdPAAU","2015-05-29T06:20:07.000Z","2016-02-13","a4N6F000000L34HUAS","false","00590000003cQMIAA2","2016-02-12T00:22:23.000Z","2016-02-14T23:02:02.000Z","2016-02-14T23:02:02.000Z","YPSEL2-36","00590000003cQMIAA2","2015-02-23","2016-04-22T11:07:45.000Z"
的innerHtml。
我问,因为我知道,如果iFrames托管在一个不安全的环境中,他们可以被“替换”看起来像中间人,网络钓鱼调色板
,那么它通常是不安全的。由于
答案 0 :(得分:1)
只有在网页中注入了一些元素时,它才会成为网页的一部分(例如,注入<script>中的代码)对任何其他网页脚本开放。
网页上无法访问页面操作或工具栏弹出窗口或后台页面甚至内容脚本环境(变量/函数)等扩展程序的内部页面和脚本。除了少数例外情况,您甚至无法直接在扩展程序中访问另一个,因为它们就像不同的标签/窗口一样:应该使用消息传递。
网页了解扩展程序内容的唯一方法是明确向其提供扩展程序中的信息。例如,您必须通过DOM消息传递显式发送信息。或者通过明确的https://github.com/dburles/mongo-collection-instances机制。
答案 1 :(得分:1)
也许其他脚本无法记录密码,但是您还需要保护来自KeyLogger之类的本机组件的输入,它们始终可以获得您在键入浏览器进程之前键入的内容。所以我想还需要一个原生组件,它可以与恶意键盘记录器对抗并确保它们无法获得有效的用户输入。