想问一下。浏览器插件的权限有多大。
能操作页面dom吗?
能自动检测执行页面的js函数吗 或者网页面嵌入函数执行这些都可以做吗?
权限太大会不会导致安全问题,或者用户隐私问题?
想问一下。浏览器插件的权限有多大。
能操作页面dom吗?
能自动检测执行页面的js函数吗 或者网页面嵌入函数执行这些都可以做吗?
权限太大会不会导致安全问题,或者用户隐私问题?
能操作页面DOM, 也能够网页面嵌入函数执行,至于安全或者隐私问题关键还是看使用者怎么使用。个人感觉当用户安装的时候就应该清楚这个插件能够做什么。
可以参考:
http://open.chrome.360.cn/extension_dev/overview.html
https://developer.chrome.com/devtools/index
1)Chrome插件本身有机制控制,不会无限制的开放很多权限给你
2)页面的DOM元素时可以操作的,Chrome插件是和宿主页面之间是共享DOM对象,但是不共享Javascript上下文容器
也就是说在插件中你不能也无权执行宿主页面中的JS脚本。这个和跨域限制同理
3)既然可以操作DOM元素,那么可以通过插入<script>节点的方式,在宿主页面中写入脚本,在宿主页面中执行
4)基于第3点,你就不要随意的使用别人提供的插件,尽量从官方市场下载经过安全审核的。除非你确认这个插件是可信的或仅限于内部使用的
10 回答11.1k 阅读
6 回答3k 阅读
5 回答4.8k 阅读✓ 已解决
4 回答3k 阅读✓ 已解决
2 回答2.6k 阅读✓ 已解决
3 回答2.3k 阅读✓ 已解决
3 回答2.1k 阅读✓ 已解决
可以很大,大到能获取你本地的资料。如果可以还可以给你安装各种软件。
回到问题:
Q:能操作dom吗?
可以的,不然为什么abp广告插件可以清楚页面浮动广告等。
Q:能自动检测执行js函数吗?
这个没太明白。但是可以在页面加载前执行一些逻辑。比如恶意跳转。钓鱼等。
Q:权限太大会不会导致安全问题,或者用户隐私问题?
会的。而且一定会。因此尽量的从google商店下载。而不要随意拖拽安装第三方的不知名插件。另外。你可以在安装插件的详情中看到该插件获取的所有权限。
以上