(noob alert)问题陈述:我有一个chrome扩展,它允许用户通过向服务器发送书签的详细信息并将数据存储在该用户的配置文件下来为页面添加书签。 这意味着我需要对用户进行身份验证,然后每次都将userID发送到服务器 我发回书签。
的问题:
1)书签显示在弹出窗口中,然后发送到服务器,但是如果用户未登录(已验证),则弹出窗口应仅显示允许用户名通过而不是书签数据的界面,我的问题,我将如何实现这一目标?我知道我必须使用一个pop文件,但是如何分离接口?
2)验证扩展的最佳方法是什么?并确保仅从扩展程序发送数据,即防止对Web服务的攻击。</ p>
有人可以帮忙吗?
答案 0 :(得分:4)
1)您可以随时使用chrome.browserAction.setPopup设置弹出页面。 因此,扩展名以登录表单作为'manifest.json'下的默认弹出窗口开始。用户登录后,将browserAction弹出窗口设置为主扩展页面。
2)由于和用户可以编辑扩展代码上的任何内容,因此您应该防止攻击或来自服务器端的任何内容,即请求令牌,请求ip和/或经过时间的配额。在SSL连接下通过POST进行简单的身份验证就足够了。