Chrome 个扩展程序无法访问数据存储
Data storage inaccessible to Chrome extensions
有没有什么方法可以存储 Chrome 扩展程序在任何情况下都无法访问的数据(例如,CSRF 令牌)?
理想情况下,我希望存储的信息即使是天真的用户授予扩展程序的所有权限也能保持安全。
I was wondering if there was somewhere that was accessible to the page but inaccessible to an extension.
考虑所谓的页面级脚本。内容脚本可以inject a <script>
tag into the page,并且会在与页面相同的环境中执行。
然后它可以提取您假设的安全数据和 communicate 扩展的其余部分。
更糟糕的是,您无法合理地阻止这种注入,因为它 ignores your page's CSP。
有没有什么方法可以存储 Chrome 扩展程序在任何情况下都无法访问的数据(例如,CSRF 令牌)?
理想情况下,我希望存储的信息即使是天真的用户授予扩展程序的所有权限也能保持安全。
I was wondering if there was somewhere that was accessible to the page but inaccessible to an extension.
考虑所谓的页面级脚本。内容脚本可以inject a <script>
tag into the page,并且会在与页面相同的环境中执行。
然后它可以提取您假设的安全数据和 communicate 扩展的其余部分。
更糟糕的是,您无法合理地阻止这种注入,因为它 ignores your page's CSP。