隐私 - 跟踪 Chrome 分机的传出 AJAX 查询
Privacy - Track Chrome extension's outgoing AJAX queries
是否有任何可能的方法来跟踪 Chrome 扩展程序从网站发出的网络通信?
假设 Chrome 'content script' 扩展程序向指定 IP 上的服务器发送 AJAX 查询以创建自定义分析。当用户浏览各种网站时,此扩展程序在浏览器中运行。
这些网站是否有可能跟踪扩展程序的作用(打开 AJAX)或将数据发送到何处? (它试图向哪个 IP 发送 AJAX 查询)
更新
明确地说,我对独立第三方网站的跟踪能力感到好奇,而不是扩展用户的。
更新
更多说明:扩展正在向与用户正在浏览的 servers/websites 无关的服务器发送请求。
例子
用户每天浏览 Youtube 和 Facebook。此扩展程序将 AJAX 查询发送到存储用户访问过的 URL-s 的存储服务器。 (YouTube 和 Facebook)。我想知道的是 f.e。 Facebook 知道,这个扩展是这样做的,存储服务器的 IP 是多少?
也许这有点矫枉过正,但您可以尝试使用 Wireshark(或任何其他程序)嗅探您自己的流量并查看请求。如果他们使用 https 那么事情会更难,你将不得不解密流量。
基本上没有,因为isolated world的概念。强调我的:
Content scripts execute in a special environment called an isolated world. They have access to the DOM of the page they are injected into, but not to any JavaScript variables or functions created by the page. It looks to each content script as if there is no other JavaScript executing on the page it is running on. The same is true in reverse: JavaScript running on the page cannot call any functions or access any variables defined by content scripts.
因此,如果您正在考虑执行诸如覆盖 XMLHttpRequest 之类的操作,这是行不通的,因为内容脚本有一个您无法触摸的 "safe harbour"。
甚至在将网络操作委托给后台脚本的可能性之前,这是一个完全不同的来源。
有一个例外:扩展有时可以 inject code directly into the page context。然后它与网站 JavaScript 共存,理论上一个人可以监视另一个人。然而,实际上,扩展程序可以在网站的任何代码有机会做出反应之前执行其代码,因此可以隐身/保护自己免受干扰。
是否有任何可能的方法来跟踪 Chrome 扩展程序从网站发出的网络通信?
假设 Chrome 'content script' 扩展程序向指定 IP 上的服务器发送 AJAX 查询以创建自定义分析。当用户浏览各种网站时,此扩展程序在浏览器中运行。
这些网站是否有可能跟踪扩展程序的作用(打开 AJAX)或将数据发送到何处? (它试图向哪个 IP 发送 AJAX 查询)
更新
明确地说,我对独立第三方网站的跟踪能力感到好奇,而不是扩展用户的。
更新
更多说明:扩展正在向与用户正在浏览的 servers/websites 无关的服务器发送请求。
例子
用户每天浏览 Youtube 和 Facebook。此扩展程序将 AJAX 查询发送到存储用户访问过的 URL-s 的存储服务器。 (YouTube 和 Facebook)。我想知道的是 f.e。 Facebook 知道,这个扩展是这样做的,存储服务器的 IP 是多少?
也许这有点矫枉过正,但您可以尝试使用 Wireshark(或任何其他程序)嗅探您自己的流量并查看请求。如果他们使用 https 那么事情会更难,你将不得不解密流量。
基本上没有,因为isolated world的概念。强调我的:
Content scripts execute in a special environment called an isolated world. They have access to the DOM of the page they are injected into, but not to any JavaScript variables or functions created by the page. It looks to each content script as if there is no other JavaScript executing on the page it is running on. The same is true in reverse: JavaScript running on the page cannot call any functions or access any variables defined by content scripts.
因此,如果您正在考虑执行诸如覆盖 XMLHttpRequest 之类的操作,这是行不通的,因为内容脚本有一个您无法触摸的 "safe harbour"。
甚至在将网络操作委托给后台脚本的可能性之前,这是一个完全不同的来源。
有一个例外:扩展有时可以 inject code directly into the page context。然后它与网站 JavaScript 共存,理论上一个人可以监视另一个人。然而,实际上,扩展程序可以在网站的任何代码有机会做出反应之前执行其代码,因此可以隐身/保护自己免受干扰。