我正在使用带有内容脚本的Chrome扩展程序,该脚本可通过chrome.runtime.sendMessage将消息发送回后台页面,从而触发操作。
“后台”页面是否仅接受来自我的内容脚本的消息,还是可以被发送相同消息以触发操作的第三方脚本入侵?
希望有人能帮助我,让自己尽快上手,这是一个安全问题:)
只有您的分机可以看到这些消息。
为了将消息发送到另一个扩展,您必须显式指定其ID。
为了从另一个扩展名接收消息,您必须声明chrome.runtime.onMessageExternal或chrome.runtime.onConnectExternal侦听器,并且另一个扩展名必须显式指定您的ID。
另一个扩展可能会劫持您的唯一情况是,另一个扩展使用chrome.debugger API,但在这种情况下,Chrome在所有页面上都会显示黄色警告。可以通过标志手动禁用该警告chrome://flags/#silent-debugger-extension-api。从理论上讲,复杂的恶意本机应用程序可能会默默地更改Local StateChrome数据文件夹中的文件。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句