Protezione di un servizio Web utilizzato dall'estensione di Chrome

Non è possibile impedire a un utente di effettuare lo spoofing delle richieste. Il tuo framework dovrebbe essere tale che le richieste di spoofing inviate da un utente non dovrebbero avere importanza. Ad esempio, posso spoofare commenti POST richieste tutto ciò che voglio su Facebook, e otterrò solo un mucchio di commenti. Non ci sono restrizioni solo sul lato client che mi impediscano di fare qualcosa che non dovrei fare. Non riesco a postare in un gruppo chiuso modificando l'ID di gruppo in una richiesta POST. Il server bloccherà solo la richiesta. Se non vuoi che i tuoi utenti siano in grado di fare qualcosa, bloccalo sul lato server.

Tuttavia, ciò che puoi fare è usare un buon sistema di autenticazione utente per impedire a un utente di spoofing un'altra richiesta dell'utente. Collegarsi a OpenID o utilizzare un cookie di sessione persistente (per evitare di chiedere all'utente di autenticarsi ogni volta) e la propria autenticazione. Questo impedirà a un utente di falsificare la richiesta di un altro utente .

Impossibile.

Posso prendere l'estensione codice sorgente e spoofare qualsiasi richiesta che desidero. Posso persino modificare il contenuto della tua estensione (le estensioni di Chrome sono fondamentalmente Javascript, quindi è molto più semplice dell'aggiustamento del codice binario) e quindi lascia che l'estensione faccia ciò che voglio.

Non dovresti mai fare affidamento sul codice in esecuzione sul client. Ogni checksum, segreto condiviso o qualsiasi altra cosa può essere falsificato quando l'utente malintenzionato ha accesso al codice e alla configurazione.