浏览器插件或扩展能否看到页面中运行的javascript变量的值
我想使用类似OAuth Implicit Grant的东西来为客户机提供访问令牌,这样就可以在客户机而不是服务器上完成工作,从而节省我的成本 我不想确切地使用隐式。相反,我想使用授权授予。我的服务器将首先获得访问令牌,因此浏览器不会将令牌存储在历史记录或日志中。服务器将通过web套接字向客户端发送令牌。客户端现在将在其javascript运行时中拥有令牌 我想知道是否有人可以偷这个代币。客户端位于一个受信任的网站上,但是,我想知道Chrome扩展是否可以检查javasceipt运行时并查看访问令牌的值 我还想知道是否有其他方法可以让用户从客户端的javascript运行时中获取访问令牌。使用隐式流是(一些服务器完全禁止此流)浏览器插件或扩展能否看到页面中运行的javascript变量的值,javascript,security,google-chrome-extension,oauth,Javascript,Security,Google Chrome Extension,Oauth,我想使用类似OAuth Implicit Grant的东西来为客户机提供访问令牌,这样就可以在客户机而不是服务器上完成工作,从而节省我的成本 我不想确切地使用隐式。相反,我想使用授权授予。我的服务器将首先获得访问令牌,因此浏览器不会将令牌存储在历史记录或日志中。服务器将通过web套接字向客户端发送令牌。客户端现在将在其javascript运行时中拥有令牌 我想知道是否有人可以偷这个代币。客户端位于一个受信任的网站上,但是,我想知道Chrome扩展是否可以检查javasceipt运行时并查看访问令
如果您是,您应该考虑基于PKCE ./P>的授权代码来执行新的指南。“某人”是指您的用户或第三方。扩展可以截取Web站点发送或接收的所有内容,因为它们可以钩住XMLHttpRequest、FETH、jQuery等,包括从全局窗口命名空间()访问的变量。我认为您可以通过检查功能代码来检测篡改-原始代码包含
[本机代码]