1
如果鉻擴展請求允許「讀取和修改您在您訪問的所有網站上的所有數據」,可以將其再從這些訪問過的網站之一的本地存儲中讀取數據?Chrome擴展可以從本地存儲中讀取數據嗎?
我問這個,因爲我知道一些網站的身份驗證令牌存儲在本地存儲。如果擴展程序可以訪問令牌,這將是可怕容易收穫的訪問令牌......
如果鉻擴展請求允許「讀取和修改您在您訪問的所有網站上的所有數據」,可以將其再從這些訪問過的網站之一的本地存儲中讀取數據?Chrome擴展可以從本地存儲中讀取數據嗎?
我問這個,因爲我知道一些網站的身份驗證令牌存儲在本地存儲。如果擴展程序可以訪問令牌,這將是可怕容易收穫的訪問令牌......
答案是肯定的。由分機注入的內容腳本可以完全訪問該網站的localStorage
。
注意,這是不足爲奇的或新的。擴展程序旨在具有此訪問權限,並且還可以通過偵聽網絡流量來獲取令牌。通過設計。 –