这个问题试图在 Chrome 扩展的 API 中提出一个真正的安全问题:如何在与您的服务交互时检查您的 Chrome 扩展的真实性。 如果有任何遗漏的可能性,或任何误解,请随时在评论中问我。
最佳答案
很抱歉,您提出的这个问题本质上是无法解决的,因为一个简单的问题:您不能信任客户。而且由于客户可以看到代码你无法解决问题。
来自客户端的任何信息都可以通过其他方式复制。这与试图证明当用户登录他们的帐户时实际上是用户而不是其他人发现或获得了他们的用户名和密码是同一个问题。
互联网安全模型是围绕 2 方建立的,试图在第三方无法模仿、修改或窃听对话的情况下进行通信。如果不隐藏扩展的源代码,客户端将无法与第三方区分开来(副本中的文件 - 无法确定哪个是哪个)。
如果源代码被隐藏,那就完全是另外一回事了。现在,用户或恶意方无法访问真实客户端知道的 secret ,并且所有常规安全模型都适用。然而,Chrome 是否允许在扩展中隐藏源代码值得怀疑,因为这会产生其他安全问题。
如您所说,可以使用 NPAPI 插件隐藏某些源代码,但它的价格如您所知。
回到当前的状态:
现在问题变成了交互的含义。
如果交互意味着当用户在页面上时您想知道它是您的扩展程序还是其他一些那么您可以获得的最接近的是在 app 下的扩展程序 list 中列出您的页面记录部分 here
这将允许您在页面上询问是否使用安装了该应用程序
chrome.app.isInstalled
这将返回 bool 值,显示您的应用程序是否已安装。该命令已记录 here
然而,这并没有真正解决问题,因为扩展可能已安装,但未启用,并且还有另一个扩展模拟与您网站的通信。
此外,验证是在客户端进行的,因此可以覆盖任何使用该验证的函数以忽略此变量的结果。
但是,如果交互意味着发出 XMLHttpRequests,那么您就不走运了。如上所述,由于源代码的可见性,无法使用当前方法完成。
但是,如果它将您的网站的可用性限制在授权实体,我建议使用常规身份验证方式:让用户登录将允许您创建 session 。此 session 将传播到扩展程序发出的所有请求,因此您可以解决常规客户端登录信任问题,例如帐户共享等。当然,可以通过让用户通过他们的 Google 帐户登录来管理这些问题,大多数人都不愿意共享并通过阻止似乎被滥用的帐户进一步缓解。
关于javascript - 如何检查 Chrome 扩展程序的真实性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12460297/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
我想用ruby编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/