Come proteggere la comunicazione tra la pagina e l'estensione del browser?

2

In il mio plug-in del browser voglio rilevare qualsiasi utilizzo di un built-in Funzione JavaScript Sovrascrivo questa funzione iniettando un pezzo di codice sulla pagina. Questo codice attiva quindi un evento e un gestore di eventi invia un messaggio alla mia estensione utilizzando chrome.runtime.sendMessage .

Il problema è che ora qualsiasi pagina su Internet può anche attivare l'evento e comunicare con la mia estensione. Voglio solo il mio script iniettato per essere in grado di comunicare con la mia estensione, per evitare problemi di sicurezza come con Grammarly

Come posso proteggere la comunicazione tra lo script inserito e l'estensione. Voglio sovrascrivere una funzione JavaScript nativa, quindi devo inserire script nella pagina (al contrario dello script di contenuto). Poiché si trova nella pagina, non posso chiamare chrome.runtime.sendMessage direttamente.

Modifica: ho pensato a questa soluzione : creare una chiave segreta casuale nello script del contenuto, e gestisci solo gli eventi con quella chiave segreta. Sembra un trucco totale, quindi la domanda è ancora se c'è un modo "giusto" per farlo.

    
posta Sjoerd 31.07.2018 - 14:41
fonte

0 risposte

Leggi altre domande sui tag