扩展程序可以访问浏览器中的特殊权限,因此是攻击者的理想目标。如果某个扩展程序遭到入侵,该扩展程序的所有用户都可能会受到恶意和不必要的入侵。通过添加 这些做法
保护开发者账号
扩展程序代码是通过 Google 账号上传和更新的。如果开发者的账号是 遭到入侵,攻击者可以直接将恶意代码推送给所有用户。请创建专门的开发者账号并启用双重验证(最好使用安全密钥),以保护这些账号。
选择性地创建群组
如果使用群组发布,请将群组设为仅限受信任的开发者发布。请勿接受来自陌生人的会员资格申请。
切勿使用 HTTP
请求或发送数据时,避免使用 HTTP 连接。假设任何 HTTP 连接 不得窃听或包含修改内容。HTTPS 始终是首选 安全机制来规避大多数中间人攻击。
请求最低权限
对于 Chrome 浏览器中已明确请求的权限,Chrome 浏览器会限制扩展程序使用这些权限 清单。扩展程序应仅注册其依赖的 API 和网站,以尽可能减少其权限。应尽量减少任意代码。
限制扩展程序权限会限制潜在攻击者可利用的内容。
跨源 XMLHttpRequest
扩展程序只能使用 XMLHttpRequest 从自身以及网域获取资源 。
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"permissions": [
"/*",
"https://*.google.com/"
],
"manifest_version": 2
}
此扩展程序会在权限中列出 "/*"
和 "https://*google.com/"
,以请求对 developer.chrome.com 和 Google 子网域上的所有内容的访问权限。即使扩展程序遭到入侵,它仍然只能与符合匹配模式的网站互动。攻击者将无法访问 "https://user_bank_info.com"
或与 "https://malicious_website.com"
互动。
限制清单字段
在清单中添加不必要的注册会导致漏洞,并使扩展程序更易于发现。将清单字段限制为扩展程序依赖的字段,并提供特定字段注册。
可外部连接
使用 externally_connectable
字段声明该扩展程序将与哪些外部扩展程序和网页交换信息。限制扩展程序可以从外部连接到的对象
可信来源。
{
"name": "Super Safe Extension",
"externally_connectable": {
"ids": [
"iamafriendlyextensionhereisdatas"
],
"matches": [
"/*",
"https://*google.com/"
],
"accepts_tls_channel_id": false
},
...
}
可通过网络访问的资源
在web_accessible_resources
下,将资源设置为可通过网络访问,将使
可被网站和攻击者检测到的扩展程序。
{
...
"web_accessible_resources": [
"images/*.png",
"style/secure_extension.css",
"script/secure_extension.js"
],
...
}
可用的网络访问资源越多,潜在攻击者可利用的途径就越多。保留 尽量减少这些文件的数量
添加明确的内容安全政策
在清单中为扩展程序添加内容安全政策,以防范跨网站脚本攻击。如果扩展程序仅从自身加载资源,则注册以下内容:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self'"
"manifest_version": 2
}
如果扩展程序需要包含来自特定主机的脚本,则可以添加这些脚本:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self' https://extension.resource.com"
"manifest_version": 2
}
避免使用可执行 API
应将执行代码的 API 替换为更安全的替代方案。
document.write() 和 innerHTML
虽然使用 document.write()
和 innerHTML
动态创建 HTML 元素可能更简单,
而是会留下扩展程序以及扩展程序所依赖的网页
恶意脚本。请改为手动创建 DOM 节点,然后使用 innerText
插入动态内容。
function constructDOM() {
let newTitle = document.createElement('h1');
newTitle.innerText = host;
document.appendChild(newTitle);
}
eval()
请尽可能避免使用 eval()
以防范攻击,因为 eval()
会执行传入的任何代码,而这些代码可能是恶意的。
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// WARNING! Might be evaluating an evil script!
var resp = eval("(" + xhr.responseText + ")");
...
}
}
xhr.send();
相反,请改用更安全、更快速的方法,例如 JSON.parse()
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// JSON.parse does not evaluate the attacker's scripts.
var resp = JSON.parse(xhr.responseText);
}
}
xhr.send();
谨慎使用内容脚本
- 内容脚本是扩展程序中唯一可直接与网页互动的部分。 因此,恶意网页可能会操纵 DOM 中内容脚本所依赖的部分, 或利用令人惊讶的网络标准行为,例如命名项。
- 如需与网页的 DOM 进行交互,内容脚本需要在与网页相同的渲染程序进程中执行。这使内容脚本容易通过边信道攻击泄露数据 (例如,Spectre)攻击,以及在恶意网页入侵渲染程序进程时被攻击者接管。
敏感工作应在专门的进程中执行,例如在扩展程序的后台执行 脚本。避免意外向内容脚本公开扩展程序权限:
- 假设来自内容脚本的消息可能是由攻击者(例如 验证和清理所有输入,并保护您的脚本免受跨站脚本攻击。
- 假设发送到内容脚本的任何数据都可能会泄露到网页。请勿向内容脚本发送敏感数据(例如扩展程序中的 Secret、来自其他网站来源的数据、浏览记录)。
- 限制内容脚本可以触发的特权操作的范围。不允许内容脚本触发对任意网址的请求或向扩展程序 API 传递任意参数(例如,不允许向
fetch
或chrome.tabs.create
API 传递任意网址)。
注册和清理输入
通过将监听器限制为仅监听扩展程序预期的内容、验证传入数据的发送方以及对所有输入进行排错,保护扩展程序免受恶意脚本的侵害。
只有在预期收到来自外部网站或扩展程序的通信时,扩展程序才应注册 runtime.onRequestExternal
。始终验证发件人是否与
可信来源。
// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";
chrome.runtime.onMessageExternal.addListener(
function(request, sender, sendResponse) {
if (sender.id === kFriendlyExtensionId)
doSomething();
});
即使是扩展程序本身通过 runtime.onMessage 事件发送的消息,也应仔细检查,以确保 MessageSender 不是来自已遭到入侵的内容脚本。
chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
if (request.allowedAction)
console.log("This is an allowed action.");
});
通过清理用户输入和传入消息,阻止扩展程序执行攻击者的脚本 甚至可以来自扩展程序本身和已获批准的来源。避免使用可执行 API。
function sanitizeInput(input) {
return input.replace(/&/g, '&').replace(/</g, '<').replace(/"/g, '"');
}