我为Google Chrome编写了一个扩展程序,它通过console.log
向其背景页面的控制台写入内容。其他任何扩展程序是否可以访问我在那里写入的数据,或者它们是否安全?其他Chrome扩展程序可以读取我的扩展程序写入的日志消息吗?
我猜答案是“没有其他扩展可以访问这个,只有你的扩展(和用户)”;但我无法找到权威来源。
我为Google Chrome编写了一个扩展程序,它通过console.log
向其背景页面的控制台写入内容。其他任何扩展程序是否可以访问我在那里写入的数据,或者它们是否安全?其他Chrome扩展程序可以读取我的扩展程序写入的日志消息吗?
我猜答案是“没有其他扩展可以访问这个,只有你的扩展(和用户)”;但我无法找到权威来源。
使用默认标志,浏览器将拒绝(静默)访问chrome-extension://
页面到其他具有公共API的扩展/应用程序。
有些标志可以覆盖此标志(例如,silent-debugger-extension-api
标志带有chrome.debugger
API),但它需要用户采取措施(或者可以更改Chrome启动器参数的本地攻击)。
此外,还有私人API允许Chrome Apps & Extensions Developer Tool等功能发挥作用,但作为私有API,只有Google列入白名单的应用才能访问。
最后,extensions that extend DevTools可能潜在转移控制台输出,只要通过用恶意副本替换console
对象打开DevTools。这是不太可能的,我还没有测试过,但它在理论上是可能的。