È possibile che le estensioni chrome facciano richieste di origine incrociata inserendo un javascript nella pagina principale? In tal caso, non è una vulnerabilità di sicurezza?
È possibile che le estensioni chrome facciano richieste di origine incrociata inserendo un javascript nella pagina principale? In tal caso, non è una vulnerabilità di sicurezza?
In realtà, non è nemmeno necessario inserire JavaScript nella pagina principale. Le estensioni possono richiedere autorizzazioni per effettuare richieste di interconnessione a determinati siti Web, vedi link . Possono persino utilizzare l'autorizzazione <all_urls>
per ottenere l'accesso Cross-Origin per tutti i siti web. Questa non è una vulnerabilità di sicurezza, poiché devi installare manualmente un'estensione e concedere le autorizzazioni per l'installazione, rendendoti responsabile di tutto ciò che accade.
Leggi altre domande sui tag javascript browser-extensions crossdomain