Chrome 扩展程序可以将数据发送到远程服务器吗?

信息安全 浏览器扩展
2021-09-09 06:02:07

假设一个扩展有一个可怕的权限列表,如下所示(“站点访问:在所有站点上”):

在此处输入图像描述

这是否也授予扩展权限以通过 XHR 将我的数据发送到作者的服务器?

我已经阅读了这里的文档,但缺乏一些背景知识,所以我不确定我的解释:

跨域 XMLHttpRequest

阅读此内容后,似乎不允许扩展程序将我的数据发送到某处,除非它在清单中有如下行 - 这是正确的吗?

"permissions": [
    "https://www.google.com/"
  ]
1个回答

阅读此内容后,似乎不允许扩展程序将我的数据发送到某处,除非它在清单中有如下行 - 这是正确的吗?

这是不正确的。

XHR(和 fetch)需要permissions正确设置密钥以避免跨域限制,但是有多种方法可以将数据发送到远程服务器,在 iframe 中自动提交表单,或者使用某些参数加载远程图像在网址中。

其它你可能感兴趣的问题
上一篇安全地检测和纠正 TOTP 的时间漂移 下一篇GraphQL 端点上的 CSRF