Fatal编程技术网
  • google-chrome/
  • Google chrome 将浏览器扩展的CORS策略列入白名单?

Google chrome 将浏览器扩展的CORS策略列入白名单?

google-chrome firefox google-chrome-extension cors firefox-addon

Google chrome 将浏览器扩展的CORS策略列入白名单?,google-chrome,firefox,google-chrome-extension,cors,firefox-addon,Google Chrome,Firefox,Google Chrome Extension,Cors,Firefox Addon,我有一个浏览器扩展,可以发布到服务器。我想在我的服务器中白名单扩展的来源。例如,对Chrome扩展的请求来自一个类似:Chrome的位置-extension://fjhbdidbplpijoncnlfoadfadfasdf和类似Firefox的:moz-extension://cadf4351-e4f3-ca4d-b974-812309843dafd 我意识到我可以在我的服务器上列出这些特定的地址,但我不确定它们是否是静态地址。这些随机生成的位置是否会发生变化,比如我是否提交了更新?是否有永久设

我有一个浏览器扩展,可以发布到服务器。我想在我的服务器中白名单扩展的来源。例如,对Chrome扩展的请求来自一个类似:
Chrome的位置-extension://fjhbdidbplpijoncnlfoadfadfasdf
和类似Firefox的:
moz-extension://cadf4351-e4f3-ca4d-b974-812309843dafd

我意识到我可以在我的服务器上列出这些特定的地址,但我不确定它们是否是静态地址。这些随机生成的位置是否会发生变化,比如我是否提交了更新?是否有永久设置它们的方法?

这些方法是否会更改? Chrome和Firefox的情况有所不同

铬 对于Web应用商店中发布的扩展名,ID是固定的。你可以信赖它

对于开发中的未打包扩展,通过清单中的
“key”
值(如果存在)或扩展文件夹的绝对路径输入ID。因此,如果移动扩展,它可能会改变。但是,您可以通过提供有效的
“密钥”
来执行此操作

火狐 您在Mozilla中看到的是特定于安装的源代码。无论扩展的ID是什么,您在这里看到的UUID在每次安装扩展时都会有所不同(但应该通过更新保持不变)

有一些关于机制的讨论

本质上,这是一种反扩展阻塞技术

不幸的是,这意味着您不能只将一个源代码列入白名单并使用它

依靠这个是个好主意吗? 可能不会。虽然浏览器倾向于如实地报告源代码,但其他能够生成请求的工具却不能做到这一点。因此,欺骗相对容易。

这些改变了吗? Chrome和Firefox的情况有所不同

铬 对于Web应用商店中发布的扩展名,ID是固定的。你可以信赖它

对于开发中的未打包扩展,通过清单中的
“key”
值(如果存在)或扩展文件夹的绝对路径输入ID。因此,如果移动扩展,它可能会改变。但是,您可以通过提供有效的
“密钥”
来执行此操作

火狐 您在Mozilla中看到的是特定于安装的源代码。无论扩展的ID是什么,您在这里看到的UUID在每次安装扩展时都会有所不同(但应该通过更新保持不变)

有一些关于机制的讨论

本质上,这是一种反扩展阻塞技术

不幸的是,这意味着您不能只将一个源代码列入白名单并使用它

依靠这个是个好主意吗?
可能不会。虽然浏览器倾向于如实地报告源代码,但其他能够生成请求的工具却不能做到这一点。因此,欺骗相对容易。

对于未打包的扩展,您可以,对于商店中的扩展,它们的id永远不会改变。Firefox使用动态生成的uuid。每个用户在url中都有一个不同的uuid。对于未打包的扩展,您可以,对于存储中的扩展,它们的id永远不会改变。Firefox使用动态生成的uuid。每个用户在url.shit中都有一个不同的uuid!我在服务器上白名单了我的firefox moz扩展地址,它似乎工作正常。现在我担心其他测试版用户可能会有一个坏的安装。你认为类似这样的东西可以工作吗?'moz extension://*'?我想你可以伪造原始版本,但这比允许everything@greenie-我只是好奇。你是怎么解决这个问题的(服务器端)?妈的!我在服务器上白名单了我的firefox moz扩展地址,它似乎工作正常。现在我担心其他测试版用户可能会有一个坏的安装。你认为类似这样的东西可以工作吗?'moz extension://*'?我想你可以伪造原始版本,但这比允许everything@greenie-我只是好奇。您是如何解决这个问题的(服务器端)?