Sto scrivendo un'applicazione che comunica con un'estensione di Chrome tramite connessione websocket. Mi chiedo se c'è un modo per rilevare se la connessione origina effettivamente dall'estensione. Il motivo per cui sto facendo questa domanda è perché sto considerando un modello di minaccia in cui può essere in esecuzione uno script dannoso nel computer e provare a comunicare con l'app.
Sono consapevole che i browser inseriscono sempre l'ID dell'estensione nell'intestazione "Origin" dell'handshake del websocket. Tuttavia, questo può essere facilmente falsificato da uno script malevolo che gira al di fuori dei browser.