我注意到浏览器扩展有权从任何网页(Get localStorage from within extension without loading a page)和cookie(Access cookies from Google Chrome extension)访问localStorage。如果您授予他们对access all data on any webpage的权限,那么他们荣耀的窗口对象可以做到这一点。 (浏览器扩展程序还能做得更多吗?)
假设您有一个这样的脚本:
<script>
function SecretThing(){
// give the client a secret safe from browser extensions: (?)
var mySecret = Crypto.random()
// some cryptography with mySecret
}
var secretThing = new SecretThing();
</script>
基本上,我想知道我是否可以在mySecret上进行数学运算而不必向Chrome扩展程序显示mySecret。 “ SecretThing”对象的内部。我只会写吸气剂来从秘密中获取东西(例如签名或加密的消息)。
我不确定窗口对象是否甚至可以访问mySecret(或者可以吗?),这就是为什么我认为也许浏览器扩展(我说主要是窗口对象)也可能无法访问的原因至。你怎么看?我以前从未做过浏览器扩展。