0
我有一個網站,用戶可以註冊,我想使用的是Chrome擴展,提供了一些功能,我有點擔心安全問題:Chrome擴展程序登錄安全
我的想法是,以顯示在登錄表單然後使用用戶名/密碼(使用HTTPS)向我的服務器發送ajax請求,然後將令牌存儲到用於跟蹤ajax調用的localStorage中。
這是不安全的嗎?爲什麼?我不明白這是如何更不安全,然後使用我的網站上的窗體例如或日誌從客戶端發送ajax請求js框架
A
回答
2
這是安全的,只要您在客戶端正確處理令牌方(即只提交給您的網站,並沒有其他網站)。危險之處在於,您本質上是在回顧Google和開源社區爲保護Chrome/Chromium免受XSS,CSRF和其他令牌盜取攻擊而做的工作。確保沒有其他站點可以從您的擴展中請求令牌(這是通過相同域強制在瀏覽器中完成的)。您將需要使用證書籤名來驗證請求的來源(您應該能夠重用您用於SSL的私有證書)。
即使所有客戶端請求源自您的擴展,也要將其視爲惡意,這一點很重要。服務器必須執行所有安全處理,就像客戶端完全受到攻擊一樣。在服務器端,你甚至不應該知道用戶是使用你的擴展還是普通的瀏覽器,因爲安全明智並不重要。
至於在客戶端存儲登錄憑證,您絕不應以純文本形式存儲密碼。您應該使用哈希值並將其提交給服務器。根據你的問題,這聽起來像你不會存儲用戶的憑證,只是一個令牌。如果是這種情況,並且令牌不包含任何敏感內容,則存儲它應該沒有問題。請確保您在服務器端過期令牌並定期強制重新認證。
答案編輯澄清和錯別字
相關問題
- 1. Facebook登錄Chrome擴展程序,權限
- 2. 安全瀏覽器Chrome擴展程序
- 3. Facebook登出Chrome擴展程序
- 4. Chrome擴展程序API操縱其他已安裝的Chrome擴展程序?
- 5. Chrome擴展程序
- 6. Chrome擴展程序
- 7. 使用G +登錄的Chrome擴展程序 - redirect_uri_mismatch
- 8. Chrome擴展程序:登錄選項頁面
- 9. 登錄Google Chrome擴展程序的AJAX事件
- 10. 檢測用戶是否從Chrome擴展程序登錄
- 11. 同時登錄網站和Chrome擴展程序
- 12. Chrome擴展程序登錄最佳做法
- 13. Chrome擴展程序歷史記錄API
- 14. Chrome擴展程序禁用網絡安全
- 15. Chrome擴展程序違反了Google安全政策
- 16. 如何將Chrome擴展程序POST到燒瓶安全端點?
- 17. 登錄Chrome擴展的視頻事件
- 18. Chrome擴展內容安全策略
- 19. Chrome擴展,從內容安全策略
- 20. 如何從擴展程序登錄?
- 21. 使用Chrome用戶以外的Google用戶登錄Chrome擴展程序
- 22. 通過zip安裝Chrome擴展程序,需要Chrome的App Runtime:未安裝「導入」擴展程序
- 23. Chrome擴展程序,如何唯一標識擴展程序安裝
- 24. Chrome擴展程序:DOM + ContextualMenu
- 25. Chrome擴展程序:webRequest.onCompleted.addListener + XHR
- 26. 租用Chrome擴展程序?
- 27. Chrome擴展程序商店
- 28. Chrome擴展程序tab.url undefined
- 29. Chrome擴展程序中硒
- 30. Chrome擴展程序+飛鏢