Previene la pagina di riflessione modificata dall'estensione del browser

3

Supponiamo che ci sia un'estensione del browser attendibile in un browser Chrome che modifica la pagina web (come la modifica di DOM, l'aggiunta di script, ecc.)

Non voglio che nessuno tranne me veda la pagina modificata da questa estensione, poiché ora potrebbe contenere dati sensibili. Sebbene sia possibile per js handlers riflettere la pagina modificata sul server. Problema 1: come posso isolare la pagina modificata?

D'altra parte è importante per la pagina specificata consentire alle connessioni in uscita di caricare e aggiornare dinamicamente il contenuto della pagina.

Quindi questa configurazione non funzionerà:

Non è possibile filtrare il traffico della pagina dal server non attendibile (viene fornito da una fonte non affidabile. Il traffico è crittografato, il protocollo è sconosciuto e potrebbe cambiare) Problema 2: come non interrompere gli aggiornamenti dinamici della pagina?

Fondamentalmente, ho bisogno di almeno un isolamento della pagina a senso unico. L'estensione del browser dovrebbe essere in grado di fare tutto ciò di cui ha bisogno e nulla dovrebbe essere consentito agli script di pagina di fare con il contenuto dell'estensione del browser.

    
posta kupihleba 06.08.2018 - 23:57
fonte

1 risposta

1

Puoi impedire in modo sicuro alla pagina web dell'host di accedere ai dati visualizzati dall'estensione facendo in modo che l'estensione incorpori il suo contenuto all'interno di un menu a discesa pop-up o di estensione (questa è la soluzione utilizzata da estensione E2Email di Google ) o all'interno di un iframe incorporato nella pagina. L'iframe deve avere l'attributo src impostato su un valore oltre a "about: blank". (Se è impostato su "about: blank", la pagina web dell'host può accedere ai suoi contenuti a causa della stessa politica di origine). Lo src dell'iframe può puntare a un URL contenuto in un dominio considerato affidabile dall'utente, oppure potrebbe puntare a un file html contenuto all'interno dell'estensione. La pagina all'interno dell'iframe può avere javascript che comunica direttamente con l'estensione del browser, lasciando la pagina web dell'host completamente fuori dal ciclo.

    
risposta data 07.08.2018 - 01:12
fonte

Leggi altre domande sui tag