我爲Google Chrome編寫了一個擴展程序,它通過console.log
向其背景頁面的控制檯寫入內容。其他任何擴展程序是否可以訪問我在那裏寫入的數據,或者它們是否安全?其他Chrome擴展程序可以讀取我的擴展程序寫入的日誌消息嗎?
我猜答案是「沒有其他擴展可以訪問這個,只有你的擴展(和用戶)」;但我無法找到權威來源。
我爲Google Chrome編寫了一個擴展程序,它通過console.log
向其背景頁面的控制檯寫入內容。其他任何擴展程序是否可以訪問我在那裏寫入的數據,或者它們是否安全?其他Chrome擴展程序可以讀取我的擴展程序寫入的日誌消息嗎?
我猜答案是「沒有其他擴展可以訪問這個,只有你的擴展(和用戶)」;但我無法找到權威來源。
使用默認標誌,瀏覽器將拒絕(靜默)訪問chrome-extension://
頁面到其他具有公共API的擴展/應用程序。
有些標誌可以覆蓋此標誌(例如,silent-debugger-extension-api
標誌帶有chrome.debugger
API),但它需要用戶採取措施(或者可以更改Chrome啓動器參數的本地攻擊)。
此外,還有私人API允許Chrome Apps & Extensions Developer Tool等功能發揮作用,但作爲私有API,只有Google列入白名單的應用才能訪問。
最後,extensions that extend DevTools可能潛在轉移控制檯輸出,只要通過用惡意副本替換console
對象打開DevTools。這是不太可能的,我還沒有測試過,但它在理論上是可能的。