Firefox 插件的内部 UUID 值可以稳定吗?
Can a Firefox addon's Internal UUID value be made stable?
我指的是 about:debugging 中可见的 "Internal UUID" 值,它不同于 manifest.json 中为 Web 扩展指定的扩展 ID。
在我的测试中,每次安装插件时都有不同的值。
我想将其设置为可预测的值,因为它被用作 postMessage 等通信 API 的来源(例如 moz-extension://guid)。它可以很好地指示网络应用程序收到的消息是来自授权扩展程序还是来自其他一些扩展程序或页面。
在 Chrome 中,源似乎在扩展的不同安装中是稳定的,所以我想看看是否有可能用 Firefox 实现同样的事情。
内部 UUID 是在每次安装扩展时特意创建的,以避免指纹识别,您可以在 https://bugzil.la/1372288
上看到更长的讨论
但是,我认为您误解了 Origin header 的目的,它让您的 Web 应用程序和浏览器协同工作以防止 class 的 cross-site 脚本攻击。但就其本身而言,它并不能真正为您的 Web 应用程序提供请求来源的可靠指示符(也就是说,任何 non-browser 客户端都可以轻松地构造一个在 Origin [=18= 中具有任意值的 HTTP 请求])
我指的是 about:debugging 中可见的 "Internal UUID" 值,它不同于 manifest.json 中为 Web 扩展指定的扩展 ID。
在我的测试中,每次安装插件时都有不同的值。
我想将其设置为可预测的值,因为它被用作 postMessage 等通信 API 的来源(例如 moz-extension://guid)。它可以很好地指示网络应用程序收到的消息是来自授权扩展程序还是来自其他一些扩展程序或页面。
在 Chrome 中,源似乎在扩展的不同安装中是稳定的,所以我想看看是否有可能用 Firefox 实现同样的事情。
内部 UUID 是在每次安装扩展时特意创建的,以避免指纹识别,您可以在 https://bugzil.la/1372288
上看到更长的讨论但是,我认为您误解了 Origin header 的目的,它让您的 Web 应用程序和浏览器协同工作以防止 class 的 cross-site 脚本攻击。但就其本身而言,它并不能真正为您的 Web 应用程序提供请求来源的可靠指示符(也就是说,任何 non-browser 客户端都可以轻松地构造一个在 Origin [=18= 中具有任意值的 HTTP 请求])