确保安全

扩展程序可以访问浏览器中的特殊权限,因此是攻击者的理想目标。如果某个扩展程序遭到入侵,该扩展程序的所有用户都可能会受到恶意和不必要的入侵。通过添加 这些做法

保护开发者账号

扩展程序代码是通过 Google 账号上传和更新的。如果开发者的账号是 遭到入侵,攻击者可以直接将恶意代码推送给所有用户。请创建专门的开发者账号并启用双重验证(最好使用安全密钥),以保护这些账号。

选择性地创建群组

如果使用群组发布,请将群组设为仅限受信任的开发者发布。请勿接受来自陌生人的会员资格申请。

切勿使用 HTTP

请求或发送数据时,避免使用 HTTP 连接。假设任何 HTTP 连接 不得窃听或包含修改内容。HTTPS 始终是首选 安全机制来规避大多数中间人攻击

请求最低权限

对于 Chrome 浏览器中已明确请求的权限,Chrome 浏览器会限制扩展程序使用这些权限 清单。扩展程序应仅注册其依赖的 API 和网站,以尽可能减少其权限。应尽量减少任意代码。

限制扩展程序权限会限制潜在攻击者可利用的内容。

跨源 XMLHttpRequest

扩展程序只能使用 XMLHttpRequest 从自身以及网域获取资源 。

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
  "permissions": [
    "/*",
    "https://*.google.com/"
  ],
  "manifest_version": 2
}

此扩展程序会在权限中列出 "/*""https://*google.com/",以请求对 developer.chrome.com 和 Google 子网域上的所有内容的访问权限。即使扩展程序遭到入侵,它仍然只能与符合匹配模式的网站互动。攻击者将无法访问 "https://user_bank_info.com" 或与 "https://malicious_website.com" 互动。

限制清单字段

在清单中添加不必要的注册会导致漏洞,并使扩展程序更易于发现。将清单字段限制为扩展程序依赖的字段,并提供特定字段注册。

可外部连接

使用 externally_connectable 字段声明该扩展程序将与哪些外部扩展程序和网页交换信息。限制扩展程序可以从外部连接到的对象 可信来源。

{
  "name": "Super Safe Extension",
  "externally_connectable": {
    "ids": [
      "iamafriendlyextensionhereisdatas"
    ],
    "matches": [
      "/*",
      "https://*google.com/"
    ],
    "accepts_tls_channel_id": false
  },
  ...
}

可通过网络访问的资源

web_accessible_resources下,将资源设置为可通过网络访问,将使 可被网站和攻击者检测到的扩展程序。

{
  ...
  "web_accessible_resources": [
    "images/*.png",
    "style/secure_extension.css",
    "script/secure_extension.js"
  ],
  ...
}

可用的网络访问资源越多,潜在攻击者可利用的途径就越多。保留 尽量减少这些文件的数量

添加明确的内容安全政策

在清单中为扩展程序添加内容安全政策,以防范跨网站脚本攻击。如果扩展程序仅从自身加载资源,则注册以下内容:

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
  "content_security_policy": "default-src 'self'"
  "manifest_version": 2
}

如果扩展程序需要包含来自特定主机的脚本,则可以添加这些脚本:

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
  "content_security_policy": "default-src 'self' https://extension.resource.com"
  "manifest_version": 2
}

避免使用可执行 API

应将执行代码的 API 替换为更安全的替代方案。

document.write() 和 innerHTML

虽然使用 document.write()innerHTML 动态创建 HTML 元素可能更简单, 而是会留下扩展程序以及扩展程序所依赖的网页 恶意脚本。请改为手动创建 DOM 节点,然后使用 innerText 插入动态内容。

function constructDOM() {
  let newTitle = document.createElement('h1');
  newTitle.innerText = host;
  document.appendChild(newTitle);
}

eval()

请尽可能避免使用 eval() 以防范攻击,因为 eval() 会执行传入的任何代码,而这些代码可能是恶意的。

var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
  if (xhr.readyState == 4) {
    // WARNING! Might be evaluating an evil script!
    var resp = eval("(" + xhr.responseText + ")");
    ...
  }
}
xhr.send();

相反,请改用更安全、更快速的方法,例如 JSON.parse()

var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
  if (xhr.readyState == 4) {
    // JSON.parse does not evaluate the attacker's scripts.
    var resp = JSON.parse(xhr.responseText);
  }
}
xhr.send();

谨慎使用内容脚本

虽然内容脚本生活在孤立的世界,但它们无法免受攻击:

  • 内容脚本是扩展程序中唯一可直接与网页互动的部分。 因此,恶意网页可能会操纵 DOM 中内容脚本所依赖的部分, 或利用令人惊讶的网络标准行为,例如命名项
  • 如需与网页的 DOM 进行交互,内容脚本需要在与网页相同的渲染程序进程中执行。这使内容脚本容易通过边信道攻击泄露数据 (例如,Spectre)攻击,以及在恶意网页入侵渲染程序进程时被攻击者接管。

敏感工作应在专门的进程中执行,例如在扩展程序的后台执行 脚本。避免意外向内容脚本公开扩展程序权限:

  • 假设来自内容脚本的消息可能是由攻击者(例如 验证和清理所有输入,并保护您的脚本免受跨站脚本攻击
  • 假设发送到内容脚本的任何数据都可能会泄露到网页。请勿向内容脚本发送敏感数据(例如扩展程序中的 Secret、来自其他网站来源的数据、浏览记录)。
  • 限制内容脚本可以触发的特权操作的范围。不允许内容脚本触发对任意网址的请求或向扩展程序 API 传递任意参数(例如,不允许向 fetchchrome.tabs.create API 传递任意网址)。

注册和清理输入

通过将监听器限制为仅监听扩展程序预期的内容、验证传入数据的发送方以及对所有输入进行排错,保护扩展程序免受恶意脚本的侵害。

只有在预期收到来自外部网站或扩展程序的通信时,扩展程序才应注册 runtime.onRequestExternal。始终验证发件人是否与 可信来源。

// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";

chrome.runtime.onMessageExternal.addListener(
  function(request, sender, sendResponse) {
    if (sender.id === kFriendlyExtensionId)
      doSomething();
});

即使是扩展程序本身通过 runtime.onMessage 事件发送的消息,也应仔细检查,以确保 MessageSender 不是来自已遭到入侵的内容脚本

chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
  if (request.allowedAction)
    console.log("This is an allowed action.");
});

通过清理用户输入和传入消息,阻止扩展程序执行攻击者的脚本 甚至可以来自扩展程序本身和已获批准的来源。避免使用可执行 API

function sanitizeInput(input) {
    return input.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/"/g, '&quot;');
}