Google chrome extension Chrome扩展中内容脚本和后台页面之间消息传递的安全性_Google Chrome Extension_Content Script

Google chrome extension Chrome扩展中内容脚本和后台页面之间消息传递的安全性

google-chrome-extension

Google chrome extension Chrome扩展中内容脚本和后台页面之间消息传递的安全性,google-chrome-extension,content-script,Google Chrome Extension,Content Script,我正在使用一个内容脚本开发一个Chrome扩展，该脚本通过Chrome.runtime.sendMessage将消息发送回后台页面，从而触发一个操作后台页面是否只接受来自我的内容脚本的消息，或者是否会被发送相同消息以触发操作的第三方脚本攻击希望有人能帮助我，努力跟上进度，这是一个安全问题：）只有您的分机才能看到这些消息为了将消息发送到另一个分机，您必须为了从另一个扩展接收消息，您必须声明chrome.runtime.onMessageExternal或chrome.runtime.onC

我正在使用一个内容脚本开发一个Chrome扩展，该脚本通过Chrome.runtime.sendMessage将消息发送回后台页面，从而触发一个操作

后台页面是否只接受来自我的内容脚本的消息，或者是否会被发送相同消息以触发操作的第三方脚本攻击

希望有人能帮助我，努力跟上进度，这是一个安全问题：）

只有您的分机才能看到这些消息

为了将消息发送到另一个分机，您必须

为了从另一个扩展接收消息，您必须声明

chrome.runtime.onMessageExternal

或

chrome.runtime.onConnectExternal

侦听器，并且其他扩展必须明确指定您的ID

另一个扩展可能劫持您的唯一情况是，另一个扩展使用了，但在这种情况下，Chrome会在所有页面上显示黄色警告。可通过

chrome://flags/#silent-调试器扩展api

标志。理论上，一个复杂的恶意本机应用程序可能会悄悄地更改Chrome数据文件夹中的

本地状态

文件。

Aw，你抢先一步。另外，关于安全首选项，它们并不是无缘无故地被称为“安全”的，因为它们是经过加密签名的。更正：它是用户配置文件文件夹上方的

本地状态

文件。