扩展程序在浏览器内拥有特殊的权限,因此具有很强的吸引力, 。如果某个扩展程序遭到入侵,该扩展程序的每位用户都将容易受到 恶意和不必要的入侵通过添加 这些做法
保护开发者账号
扩展程序代码需通过 Google 账号上传和更新。如果开发者的账号是 遭到入侵,攻击者可以直接将恶意代码推送给所有用户。通过以下方式保护这些账号: 专门创建开发者账号并启用双重身份验证,最好是启用 使用安全密钥登录。
让群组保持精挑细选
如果使用群组发布,请将群组设为仅限受信任的开发者发布。不接受 来自陌生人的成员资格请求。
从来不使用 HTTP
请求或发送数据时,避免使用 HTTP 连接。假设任何 HTTP 连接 不得窃听或包含修改内容。HTTPS 始终是首选 安全机制来规避大多数中间人攻击。
请求最小权限
对于 Chrome 浏览器中已明确请求的权限,Chrome 浏览器会限制扩展程序使用这些权限 清单。扩展程序应仅注册 API 和 所依赖的网站应尽量减少任意代码。
限制扩展程序权限会限制潜在攻击者可利用的内容。
跨源 XMLHttpRequest
扩展程序只能使用 XMLHttpRequest 从自身以及网域获取资源 。
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"permissions": [
"/*",
"https://*.google.com/"
],
"manifest_version": 2
}
此扩展程序会请求访问 developer.chrome.com 和 Google 的子网域上的任何内容,
在权限中列出了 "/*" 和 "https://*google.com/"。如果
那么它仍然只能与符合以下要求的网站进行互动:
匹配模式。攻击者将无法访问 "https://user_bank_info.com" 或
与"https://malicious_website.com"互动。
限制清单字段
在清单中包含不必要的注册会造成漏洞并作为扩展程序 更加显眼。将清单字段限制为扩展程序所依赖的字段,并提供特定字段 注册。
可外部连接
使用 externally_connectable 字段声明哪些外部扩展程序和网页
会与之交换信息。限制扩展程序可以从外部连接到的对象
可信来源。
{
"name": "Super Safe Extension",
"externally_connectable": {
"ids": [
"iamafriendlyextensionhereisdatas"
],
"matches": [
"/*",
"https://*google.com/"
],
"accepts_tls_channel_id": false
},
...
}
可通过网络访问的资源
在web_accessible_resources下,将资源设置为可通过网络访问,将使
可被网站和攻击者检测到的扩展程序。
{
...
"web_accessible_resources": [
"images/*.png",
"style/secure_extension.css",
"script/secure_extension.js"
],
...
}
可用的网络访问资源越多,潜在攻击者可利用的途径就越多。保留 尽量减少这些文件的数量
添加露骨内容安全政策
在清单中为该扩展程序添加内容安全政策,以防止跨网站 脚本攻击。如果扩展程序仅从自身加载资源,请注册以下内容:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self'"
"manifest_version": 2
}
如果扩展程序需要包含来自特定主机的脚本,则可以包含这些脚本:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self' https://extension.resource.com"
"manifest_version": 2
}
避免使用可执行的 API
执行代码的 API 应替换为更安全的替代方案。
document.write() 和 innerHTML
虽然使用 document.write() 和 innerHTML 动态创建 HTML 元素可能更简单,
而是会留下扩展程序以及扩展程序所依赖的网页
恶意脚本。请改为手动创建 DOM 节点并使用 innerText 插入动态内容。
function constructDOM() {
let newTitle = document.createElement('h1');
newTitle.innerText = host;
document.appendChild(newTitle);
}
eval()
尽可能避免使用 eval() 以防止攻击,因为 eval() 会执行传递的所有代码
这可能是恶意的
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// WARNING! Might be evaluating an evil script!
var resp = eval("(" + xhr.responseText + ")");
...
}
}
xhr.send();
建议您改用更安全、更快速的方法,例如 JSON.parse()
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// JSON.parse does not evaluate the attacker's scripts.
var resp = JSON.parse(xhr.responseText);
}
}
xhr.send();
谨慎使用内容脚本
- 内容脚本是扩展程序中唯一可直接与网页互动的部分。 因此,恶意网页可能会操纵 DOM 中内容脚本所依赖的部分, 或利用令人惊讶的网络标准行为,例如命名项。
- 为了与网页的 DOM 交互,内容脚本需要在 网页。这使内容脚本容易通过边信道攻击泄露数据 (例如,Spectre),并在恶意网页入侵时被攻击者控制 渲染程序进程
敏感工作应在专门的进程中执行,例如在扩展程序的后台执行 脚本。避免意外向内容脚本公开扩展程序权限:
- 假设来自内容脚本的消息可能是由攻击者(例如 验证和清理所有输入,并保护您的脚本免受跨站脚本攻击。
- 假设发送到内容脚本的任何数据都有可能泄露到网页中。不发送敏感数据 (例如,扩展程序中的密钥、来自其他网络来源的数据、浏览记录) 脚本。
- 限制内容脚本可以触发的特权操作的范围。不允许
内容脚本来触发对任意网址的请求或将任意参数传递给
扩展程序 API(例如,不允许将任意网址传递给
fetch或chrome.tabs.createAPI)。
注册和清理输入
通过限制监听器仅查看扩展程序本身的内容,防止扩展程序遭受恶意脚本的攻击 验证传入数据的发送者,以及清理所有输入。
扩展应仅在需要注册 runtime.onRequestExternal 时注册
来自外部网站或扩展程序的通信始终验证发件人是否与
可信来源。
// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";
chrome.runtime.onMessageExternal.addListener(
function(request, sender, sendResponse) {
if (sender.id === kFriendlyExtensionId)
doSomething();
});
即使是来自扩展程序本身通过 runtime.onMessage 事件发送的消息,也应进行审查, 确保 MessageSender 不是来自遭到入侵的内容脚本。
chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
if (request.allowedAction)
console.log("This is an allowed action.");
});
通过清理用户输入和传入消息,防止扩展程序执行攻击者的脚本 甚至可以来自扩展程序本身和已获批准的来源。避免使用可执行的 API。
function sanitizeInput(input) {
return input.replace(/&/g, '&').replace(/</g, '<').replace(/"/g, '"');
}