Chrome 个扩展程序可以访问 Chrome 个应用程序吗?
Do Chrome extensions have access to Chrome apps?
出于安全考虑,我想知道 Chrome 扩展程序是否可以访问应用程序。我设计了一个处理敏感数据的 Chrome 应用程序。据我了解,该应用程序在沙盒环境中运行,该环境应该是相当隔离的。如果用户错误地安装了恶意 Chrome 扩展程序,该扩展程序是否能够 intercept/modify 应用程序中的任何敏感数据?
请注意,我不考虑 Chrome 环境之外的其他拦截方式,例如某些允许某人获得根访问权限或类似权限的病毒。我只想了解 Chrome 应用程序比标准独立应用程序更容易被拦截的程度。
塞巴斯蒂安
一方面,即使有 "debugger" 权限,扩展也无法在默认环境中触及您应用的 windows(如检查/脚本注入)。您的 "local" 数据应该是安全的。
另一方面,我测试了它并得出结论 webRequest API 将捕获您发送的所有 XHR.
这包括请求和响应的 headers,以及请求 body。响应 body 当前无法查看;但是,恶意扩展程序可以执行重定向、修改您的请求或取消它。
这 deemed a security issue; as of Chrome 45, extensions can no longer intercept traffic from other extensions and apps. Hosted apps were accidentally included too, but it's a bug 将很快得到修复 - 来自托管应用的流量将照常向 webRequest 开放。
我不知道扩展程序窥探应用程序的任何其他可能性(没有任何异常 chrome://flag 配置)。
扩展程序或其他应用程序无法访问其他扩展程序或应用程序中的数据。 syncFileSystem api 中的数据可能是个例外,因为可以授予扩展访问用户 Gdrive 的权限。
出于安全考虑,我想知道 Chrome 扩展程序是否可以访问应用程序。我设计了一个处理敏感数据的 Chrome 应用程序。据我了解,该应用程序在沙盒环境中运行,该环境应该是相当隔离的。如果用户错误地安装了恶意 Chrome 扩展程序,该扩展程序是否能够 intercept/modify 应用程序中的任何敏感数据?
请注意,我不考虑 Chrome 环境之外的其他拦截方式,例如某些允许某人获得根访问权限或类似权限的病毒。我只想了解 Chrome 应用程序比标准独立应用程序更容易被拦截的程度。
塞巴斯蒂安
一方面,即使有 "debugger" 权限,扩展也无法在默认环境中触及您应用的 windows(如检查/脚本注入)。您的 "local" 数据应该是安全的。
另一方面,我测试了它并得出结论 webRequest API 将捕获您发送的所有 XHR.
这包括请求和响应的 headers,以及请求 body。响应 body 当前无法查看;但是,恶意扩展程序可以执行重定向、修改您的请求或取消它。
这 deemed a security issue; as of Chrome 45, extensions can no longer intercept traffic from other extensions and apps. Hosted apps were accidentally included too, but it's a bug 将很快得到修复 - 来自托管应用的流量将照常向 webRequest 开放。
我不知道扩展程序窥探应用程序的任何其他可能性(没有任何异常 chrome://flag 配置)。
扩展程序或其他应用程序无法访问其他扩展程序或应用程序中的数据。 syncFileSystem api 中的数据可能是个例外,因为可以授予扩展访问用户 Gdrive 的权限。