0
我正在为客户端开发Chrome扩展程序,希望我将远程JavaScript文件嵌入到特定页面中。是否允许从远程服务器向页面注入JavaScript文件?
这是否允许?例如我知道在Firefox这样的扩展将不会被AMO批准。
如果允许,最好的方法是尽可能保证安全? (已使用https否定中间人攻击)
感谢所有提前:)
A
回答
5
这并不少见,一些扩展的做到这一点,所以我不希望你被拒绝,如果你很小心。然而,做不断的新的CSP(内容安全政策)的变化,这可能会在未来影响该功能的眼睛:https://mikewest.org/2011/10/secure-chrome-extensions-content-security-policy
截至目前,有几个方法可以做到这一点:
1 )您可以在后台页面中使用XMLHttpRequest来下载代码,并且可以使用chrome.tabs.executeScript将其注入到网页中。
2)您可以从内容脚本执行相同的操作,因为内容脚本也可以使用跨域XMLHttpRequest。
3)您可以创建一个内容脚本,该脚本用指向外部脚本的“src”属性在页面中创建一个元素。
其他安全
为了使它尽可能的安全,HTTPS是关键。您可以通过实际编码或签署脚本来提供额外的安全级别。例如:
1)创建一个公钥/私钥对,该公钥包含在扩展中,私钥用于在脚本准备好时对其进行编码。
2)完成服务器端的脚本代码,然后用私钥对其进行编码。
3)在扩展端,下载脚本“文档”,然后用公钥解码。验证它是一个有效的脚本文件。
这样,您将只接受并执行您知道由私钥所有者签名的脚本。
相关问题
- 1. SQL Server不允许远程服务器
- 2. 是否有可能获得远程JavaScript文件在嵌入页面之前在服务器上执行?
- 3. 是否允许JavaScript在点击事件期间调用远程网页?
- 4. 文件树从远程服务器
- 5. 使用Express服务页面并允许文件包括
- 6. 从远程服务器到本地服务器的Sftp文件
- 7. 允许远程Web服务器管理Azure服务器核心VM
- 8. htaccess重定向.asp页面,但允许相同的页面变量服务
- 9. Ruby:检查远程服务器上是否存在文件
- 10. 远程服务器返回错误:(405)方法不允许。 c#
- 11. VB.NET远程服务器返回错误:(405)方法不允许
- 12. 远程服务器返回错误:(405)不允许的方法
- 13. 如何允许写入服务器上的文件ASP.net
- 14. 是否可以从页面方法访问服务器控件?
- 15. 远程进入服务器
- 16. 从Github页面服务器使用javascript读取Json文件
- 17. Azure移动服务,远程服务器返回错误:(405)方法不允许
- 18. 远程服务器返回错误:(405)方法不允许。 WCF REST服务
- 19. 如何允许用户从php服务器下载文件
- 20. 只允许特定用户从服务器上下载文件
- 21. GWT GIN如何:注入远程服务
- 22. 允许从远程客户端访问命名管道服务器
- 23. 远程服务器的回复:从59.98.24.173 553邮箱不允许 - 5.7.1 [BL21]
- 24. 注册服务器上的Javascript文件
- 25. 运行注册表文件到远程服务器
- 26. Flex远程服务器下载文件
- 27. 本地文件或远程服务器
- 28. 是否允许HTTP/2服务器发送PRIORITY帧?
- 29. php脚本(函数)检查服务器上是否允许.htaccess
- 30. 是否允许将iPhone UDID传输到我的服务器?
在下载脚本时,给定“其他安全性”的好处不仅仅是使用HTTPS? – tsh 2017-03-06 02:21:42