浏览器扩展可以 read/spied 沙盒 iframe 中的内容吗?如果不是,我应该使用 iframe 来保护用户凭据吗?
Can content inside a sandboxed iframe be read/spied by browser extensions? if not should I use iframe to secure user credentials?
除了所有其他典型的安全最佳实践之外,我还想知道这一点,因为我最近阅读了一些文章,讨论浏览器扩展如何监视用户的任何行为。所以我们不应该相信他们。
因此,为了给用户和额外的保护层,我应该在我的网页内的 iframe 中处理所有用户的凭据和敏感信息吗?
Can content inside a sandboxed iframe be read/spied by browser
extensions?
是
Could I use iframe to secure user credentials?
快速回答,没有。
当用户安装 chrome 扩展程序时,该扩展程序基本上可以在网站上执行任何操作来访问用户凭据。该扩展还可以访问页面生成的 iframe。
我提出的解决这两个问题并保持网站感觉 "secure" 的解决方案如下:
如果最终目标是保护您的用户将放置在网站中的内容,并且如果页面中有其他类型的扩展 运行,您绝不想让用户放置内容,您可以在页面中放置某种弹出窗口,阻止用户访问,直到他访问没有扩展名的网站。
您可以向用户建议的另一种解决方案是进入隐身模式,因为有很多选项可以禁止隐身扩展,而不必强迫他卸载浏览器上的所有扩展。这也可以减少用户离开您的页面,就好像您强迫他在他的浏览器上卸载扩展程序一样,如果他没有足够明确的理由,他可能会离开您的页面。
如果您确实知道哪些扩展程序不应该被阻止或阻止,因为它们是有害的或已知有某种可疑行为,您可以做的是检查用户是否使用此解决方案安装了它们Checking if user has a certain extension installed 然后向他打印一条消息,告诉他在卸载这些扩展之前无法继续。
除了所有其他典型的安全最佳实践之外,我还想知道这一点,因为我最近阅读了一些文章,讨论浏览器扩展如何监视用户的任何行为。所以我们不应该相信他们。
因此,为了给用户和额外的保护层,我应该在我的网页内的 iframe 中处理所有用户的凭据和敏感信息吗?
Can content inside a sandboxed iframe be read/spied by browser extensions?
是
Could I use iframe to secure user credentials?
快速回答,没有。
当用户安装 chrome 扩展程序时,该扩展程序基本上可以在网站上执行任何操作来访问用户凭据。该扩展还可以访问页面生成的 iframe。
我提出的解决这两个问题并保持网站感觉 "secure" 的解决方案如下:
如果最终目标是保护您的用户将放置在网站中的内容,并且如果页面中有其他类型的扩展 运行,您绝不想让用户放置内容,您可以在页面中放置某种弹出窗口,阻止用户访问,直到他访问没有扩展名的网站。
您可以向用户建议的另一种解决方案是进入隐身模式,因为有很多选项可以禁止隐身扩展,而不必强迫他卸载浏览器上的所有扩展。这也可以减少用户离开您的页面,就好像您强迫他在他的浏览器上卸载扩展程序一样,如果他没有足够明确的理由,他可能会离开您的页面。
如果您确实知道哪些扩展程序不应该被阻止或阻止,因为它们是有害的或已知有某种可疑行为,您可以做的是检查用户是否使用此解决方案安装了它们Checking if user has a certain extension installed 然后向他打印一条消息,告诉他在卸载这些扩展之前无法继续。