Chrome 扩展中内容脚本和后台页面之间的消息传递安全性
Security of Messaging between Content Script and Background Page in Chrome Extension
我正在开发一个 Chrome 带有内容脚本的扩展,它通过 chrome.runtime.sendMessage 将消息发送回后台页面,触发一个动作。
后台页面是否只接受来自我的内容脚本的消息,或者它是否会被发送相同消息以触发操作的第三方脚本入侵?
希望有人能帮助我,努力加快速度,这是一个安全问题:)
只有您的分机可以看到这些消息。
为了将消息发送到另一个分机,您必须 specify its ID explicitly。
为了从另一个扩展程序接收消息,您必须声明 chrome.runtime.onMessageExternal 或 chrome.runtime.onConnectExternal 侦听器,并且另一个扩展程序必须明确指定您的 ID。
另一个扩展程序可能劫持您的扩展程序的唯一情况是另一个扩展程序使用 chrome.debugger API,但在这种情况下 Chrome 在所有页面上显示黄色警告。可以通过 chrome://flags/#silent-debugger-extension-api 标志 手动 禁用该警告。理论上,复杂的恶意本机应用程序可能会悄悄地更改 Chrome 数据文件夹中的 Local State 文件。
我正在开发一个 Chrome 带有内容脚本的扩展,它通过 chrome.runtime.sendMessage 将消息发送回后台页面,触发一个动作。
后台页面是否只接受来自我的内容脚本的消息,或者它是否会被发送相同消息以触发操作的第三方脚本入侵?
希望有人能帮助我,努力加快速度,这是一个安全问题:)
只有您的分机可以看到这些消息。
为了将消息发送到另一个分机,您必须 specify its ID explicitly。
为了从另一个扩展程序接收消息,您必须声明 chrome.runtime.onMessageExternal 或 chrome.runtime.onConnectExternal 侦听器,并且另一个扩展程序必须明确指定您的 ID。
另一个扩展程序可能劫持您的扩展程序的唯一情况是另一个扩展程序使用 chrome.debugger API,但在这种情况下 Chrome 在所有页面上显示黄色警告。可以通过 chrome://flags/#silent-debugger-extension-api 标志 手动 禁用该警告。理论上,复杂的恶意本机应用程序可能会悄悄地更改 Chrome 数据文件夹中的 Local State 文件。