chrome 浏览器的插件权限有多大?
想问一下。浏览器插件的权限有多大。
能操作页面dom吗?
能自动检测执行页面的js函数吗 或者网页面嵌入函数执行这些都可以做吗?
权限太大会不会导致安全问题,或者用户隐私问题?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
想问一下。浏览器插件的权限有多大。
能操作页面dom吗?
能自动检测执行页面的js函数吗 或者网页面嵌入函数执行这些都可以做吗?
权限太大会不会导致安全问题,或者用户隐私问题?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(4)
可以很大,大到能获取你本地的资料。如果可以还可以给你安装各种软件。
回到问题:
Q:能操作dom吗?
可以的,不然为什么abp广告插件可以清楚页面浮动广告等。
Q:能自动检测执行js函数吗?
这个没太明白。但是可以在页面加载前执行一些逻辑。比如恶意跳转。钓鱼等。
Q:权限太大会不会导致安全问题,或者用户隐私问题?
会的。而且一定会。因此尽量的从google商店下载。而不要随意拖拽安装第三方的不知名插件。另外。你可以在安装插件的详情中看到该插件获取的所有权限。
以上
能操作页面DOM, 也能够网页面嵌入函数执行,至于安全或者隐私问题关键还是看使用者怎么使用。个人感觉当用户安装的时候就应该清楚这个插件能够做什么。
可以参考:
1)Chrome插件本身有机制控制,不会无限制的开放很多权限给你
2)页面的DOM元素时可以操作的,Chrome插件是和宿主页面之间是共享DOM对象,但是不共享Javascript上下文容器
也就是说在插件中你不能也无权执行宿主页面中的JS脚本。这个和跨域限制同理
3)既然可以操作DOM元素,那么可以通过插入<script>节点的方式,在宿主页面中写入脚本,在宿主页面中执行
4)基于第3点,你就不要随意的使用别人提供的插件,尽量从官方市场下载经过安全审核的。除非你确认这个插件是可信的或仅限于内部使用的
除了操作dom和js,再补充点吧,你的cookie也是能够被插件所操作的(有很多cookie工具插件),而且估计最大的危险就是cookie被操作了。