如何在Chrome扩展中读取置信度数据（密码）？

Question

我正试图改进此Chrome extension 以添加以下功能。

当用户点击或关注密码框（<input type="password" />）时，会出现一个对话框。用户可以输入他的密码。之后，分机自动计算加密密码，并填入密码框。

首先，我通过修改DOM来实现它，添加一个jQuery UI对话框。但是我意识到这可能会有一些安全风险。网页可以遍历整个页面，找到我的密码框并获得它的价值。这是正确的吗？如果是，我怎样才能安全地读取密码？

我也尝试找到一种以编程方式“单击”页面动作或浏览器动作来显示密码框的方法。但Chrome似乎被禁止。没有这样的界面。

Answer 1

也许你可以从this example了解到。也许你没有（或者也许你是）窃取密码，但是这显示了你如何阅读<input type="password" />字段的内容。

Answer 2

您可以使用内容脚本中的window.prompt。这会使页面无法访问结果更安全。但这也不安全，因为任何网站都可以检测到扩展是否已安装并创建自己的提示。

另一种选择是使用desktop notifications。这样会更安全一些，因为只有安装了扩展程序和获得显示通知许可的网站才能显示提示。它还允许使用密码字段的html通知。

第三种选择是使用实验infobar API。不幸的是，您无法将实验性API发布到Chrome网上应用店。