在研究“ Chrome扩展程序安全性”时,大多数结果都涉及到扩展程序本身就是威胁(恶意软件等)。
如果我编写了一个与Web应用程序一起使用的扩展程序,那么对该扩展程序(而不是来自该扩展程序)的安全威胁是什么?该扩展程序对恶意攻击是否安全?扩展程序中运行的代码可以被破坏吗?
有趣的是,Chrome扩展程序documentation中没有“安全性”部分,Chrome扩展程序FAQs中也没有提及“安全性”一词。
答案 0 :(得分:0)
2009年12月的这段视频回答了我的主要担忧之一:Google Chrome Extensions: Content Scripts and Isolated Worlds
Google的工程师Aaron Boodman展示了内容脚本,Google Chrome扩展系统的功能之一以及孤立世界的概念(保持内容脚本彼此之间以及与外界隔离他们正在运行的页面)。
视频中的一句好话:“由于“孤立世界”之间没有共享JavaScript对象,因此,网页JavaScript无法使用共享的DOM突破正常的网页沙箱,并以某种方式获得对内容脚本或其API。”
视频中的图片很好:Isolated Worlds
如果您对Chrome扩展程序安全性有其他好的参考,请在此问题的评论中发布。谢谢。
