标签: security google-chrome-extension browser-security
假设我安装了一个请求权限A的扩展名E(例如,标签)。假设此扩展是恶意的。进一步假设扩展系统具有绑定层错误,E可以利用该错误在扩展过程中执行任意代码。除了A?
这是在与扩展核心流程分开的流程中隔离的实际特权API吗?
答案 0 :(得分:0)
感谢Lei Zhang在chrome irc频道(see here)上澄清这一点:在实现API的浏览器端检查实际权限,而不是扩展(渲染器)进程。