是否有任何可能的方式跟蹤Chrome擴展程序的網站傳出網站?隱私 - 追蹤Chrome擴展程序的傳出AJAX查詢
我們假設一個Chrome的「內容腳本」擴展將AJAX查詢發送到指定IP上的服務器以創建自定義分析。該擴展在瀏覽器中運行,而用戶瀏覽各種網站。
這些網站有沒有可能跟蹤擴展程序(它打開AJAX)或它向哪裏發送數據? (給了哪個IP它試圖發送AJAX查詢)
UPDATE
要清楚,我很好奇一個獨立的第三方網站的跟蹤能力,而不是分機用戶的。
UPDATE
更多澄清:分機發送請求到不相關的服務器/網站的用戶正在瀏覽的服務器。
示例
用戶每天瀏覽Youtube和Facebook。該擴展將AJAX查詢發送到存儲用戶訪問的URL的存儲服務器。 (Youtube和Facebook)。我想知道的是,f.e. Facebook知道,這個擴展是這樣做的,存儲服務器的IP是什麼?
基本上沒有,因爲isolated world的概念。強調地雷:
內容腳本在稱爲孤立世界的特殊環境中執行。他們可以訪問他們注入的頁面的DOM,但不能訪問頁面創建的任何JavaScript變量或函數。它會查看每個內容腳本,就好像其上運行的頁面上沒有執行其他JavaScript一樣。反過來也是如此:頁面上運行的JavaScript不能調用任何函數或訪問由內容腳本定義的任何變量。
所以,如果你正在考慮做一些像覆蓋XMLHttpRequest的,這是行不通的,因爲內容腳本有一個「安全港」你不能碰。
這甚至還沒有將網絡操作委託給後臺腳本的可能性,後者是一個完全不同的起源。
有一個例外:擴展有時可以是inject code directly into the page context。然後它與JavaScript網站共存,理論上可以窺探另一個。然而,實際上,擴展程序可以在網站的任何代碼有機會做出反應之前執行其代碼,因此隱身/保護自己免受干擾。
也許這是矯枉過正,但你可以嘗試使用Wireshark(或任何其他程序)嗅探自己的流量,並看看請求。如果他們正在使用https那麼情況會更加困難,您將不得不解密流量。
感謝Pablo,但是如果我理解正確,Wireshark和類似的東西需要安裝在客戶端的計算機上(使用擴展名的那個),而不是訪問網站的所有者。我現在將對我的問題進行更新,以確保我清楚我對獨立網站的跟蹤能力感到好奇,而不是我作爲擴展的用戶。 –
是的,我理解錯了。 我認爲他們可以追蹤請求的來源。例如,假設您從_api/getUser.php獲取JSON?id = 1_他們將能夠檢查$ _SERVER:[$ _SERVER PHP](http://php.net/manual/en/reserved.variables .server.php) –
是的,沒錯。我需要澄清一點。該擴展將請求發送到與擴展用戶正在瀏覽的服務器不相關的另一個服務器。 (使用跨域JSONP reuqest)我將很快將這個澄清添加到我的問題中。 –
在您的分機的後臺頁面發送這些請求。 – wOxxOm
我認爲如果content_scripts無法訪問網頁定義的變量或函數,那麼converse assertion也是如此。即網頁無法跟蹤來自content_scripts的請求。 [執行環境](https://developer.chrome。com/extensions/content_scripts#execution-environment) – UserName
@wOxxOm實際優勢是什麼? –