Есть ли способ хранения данных (например, токен CSRF), который ни при каких обстоятельствах не может быть доступен при расширении Chrome?Хранение данных, недоступное для расширений Chrome
В идеале я хотел бы хранить информацию, которая оставалась бы безопасной, даже если наивный пользователь предоставил все разрешения для расширения.
Мне было интересно, было ли где-то, что было доступно для страницы, но недоступно для расширения.
Рассмотрите так называемые сценарии уровня страницы. Сценарий содержимого может быть inject a <script> tag into the page, и он будет выполнен в той же среде, что и страница.
Он может затем извлечь ваши гипотетические защищенные данные и communicate с остальной частью расширения.
Что еще хуже, вы не можете разумно предотвратить эту инъекцию, так как это ignores your page's CSP.
Конечно. Спасибо, что разъяснил это. – hoipolloi
В общем, если вы хотите надежно хранить данные, не храните их в браузере. –
В чем смысл? Пользователь может получить доступ к нему с помощью консоли Javascript, а затем скопировать его в расширение. – Barmar
Предположительно, вы хотите что-то доступное для JavaScript страницы? – Xan