在Chrome Web Store上发布的浏览器扩展有其唯一的扩展ID。但是,可以为任何扩展提取产生扩展ID的manifest->“key”字段(例如通过link)。使用此“key”,用户可以通过加载未打包和修改版本的代码在本地创建已发布扩展的更改版本,但具有相同的ID。
通过使用extension-id作为可信标识符,从其他扩展或网页向扩展传递消息。如果用户从欺骗这些依赖的网页或扩展中受益,他将能够这样做。
网页无法在不依赖扩展本身的情况下知道扩展的installType。
我希望“key”字段不会对上传者(开发者)之外的任何人公开可见,但显然不是这样。我的问题是:
1.有没有一种方法让网页知道他们正在与之通信的扩展是一个真实的网络商店发布的扩展?
1.其他浏览器的扩展是否也存在类似的问题?
请让我知道,如果有任何进一步的细节,我可以提供。谢谢
1条答案
按热度按时间dgsult0t1#
我使用了以下解决方案,这适合我的用例。浏览器扩展将一些文件,如manifest.json,service-worker.js,wasm作为Web访问资源暴露给一些特定的网站,它充当审计员。这个审计员网站将在必要时获取并检查这些脚本和脚本的完整性,以确保特定的扩展名不被修改。这适合我的用例,因为用户只在以下情况下使用扩展名:审计员现场的存在。
网站无法调用Chrome.runtime.getURL(path_of_resource),但返回的路径值具有格式(
chrome-extension://${extensionID}/path_of_resource),有助于绕过该问题。