我如何從Chrome擴展內部安全地更新遠程數據庫？

Question

我真的很難弄明白這一點。花了大約4小時爬網沒有SO帖子來救我。

想象一個場景：

1. 我已經寫了一個Chrome擴展，捕獲網頁上（主要是點擊一個按鈕）一些特定的動作。該動作觸發一個函數，捕獲一些用戶信息和按鈕信息（全部出現在頁面本身）並顯示它

2. 現在我希望插件應該能夠更新到遠程的數據庫設置服務器。

因爲我精通PHP（因此MySQL是不錯的選擇），我在尋找一個解決方案，以確保更新從擴展本身，並僅製造。

對此，我認爲最好的選擇是運行GET/POST請求，比如http://remoteserver.tld/update-db.php?id=XXXX&action=YYYYY&foo=bar ....等。但是如果用戶打開/傳遞post vars到外部插件以外的地址會發生什麼？

數據仍會更新，完整性將會丟失！

下一個最好的想法是將請求包含在密鑰中，但再次使用JS編寫擴展，幾乎任何人都可以嗅出密鑰。

指導我找到更新遠程服務器上數據庫的最佳方法，並確保操作已通過身份驗證。

乾杯！

Answer 1

這裏的問題基本上是認證之一，你想阻止任何人能夠更新任何其他數據存儲。

最明顯的解決方法是發送一個難以枚舉的附加參數（散列是一個很好的例子），並且只分配給您的擴展的一個實例（因此每個用戶都會生成它自己的認證散列） 。

爲了使這個散列有效，重要的是它是不可猜測的。 不要僅基於ip-adressess或用戶代理字符串等靜態內容創建散列。

您可以包含這些靜態字符串以減少碰撞的可能性： [pseudo] sha1（ip_address + user_agent + random_integer）。

所以基本上對你來說，這個結果如下： 讓擴展爲當前實例生成一個散列，如果它是第一次運行的話，向你的服務器發出一個初始請求來「註冊」這個新實例，全部隨後有這個散列的請求將對該實例進行認證。

另外，使用SSL加密連接來防止嗅探。

請不要通過諸如XOR之類的默默無聞的方式來解決這個問題，人們會發現。

哦，順便說一句，如果你的問題是關於數據完整性本身，你不能解決這個問題。發送的數據始終由用戶提供，因爲機器所做的一切都在該用戶的控制之下（假設）。