Zwykłe strony internetowe mogą używać obiektu XMLHttpRequest do wysyłania i odbierania danych z serwerów zdalnych, ale podlegają one tym samym zasadom dotyczącym źródła. Skrypty treści inicjują żądania w imieniu źródła stron internetowych, do którego wstrzyknięto skrypt treści. Dlatego też skrypty treści również podlegają tej samej zasadzie dotyczącej źródła. (Skrypty treści są objęte zasadami CORB od wersji Chrome 73 i CORS od Chrome 83). Źródła rozszerzeń nie są tak ograniczone – skrypt uruchamiany na stronie rozszerzenia w tle lub na karcie na pierwszym planie może komunikować się z serwerami zdalnymi spoza swojego źródła, o ile rozszerzenie żąda uprawnień z innych domen.
Źródło rozszerzenia
Każde aktywne rozszerzenie istnieje w osobnym źródle zabezpieczeń. Rozszerzenie może użyć kodu XMLHttpRequest bez żądania dodatkowych uprawnień, aby pobrać zasoby w ramach instalacji. Jeśli na przykład rozszerzenie zawiera plik konfiguracji JSON o nazwie config.json, w folderze config_resources może pobrać zawartość tego pliku w ten sposób:
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = handleStateChange; // Implemented elsewhere.
xhr.open("GET", chrome.extension.getURL('/config_resources/config.json'), true);
xhr.send();
Jeśli rozszerzenie próbuje użyć innego źródła zabezpieczeń, np. https://www.google.com, przeglądarka go blokuje, chyba że żąda odpowiednich uprawnień z innych domen.
Wysyłanie prośby o uprawnienia z innych domen
Dzięki dodaniu hostów lub wzorców dopasowania hostów do sekcji uprawnień pliku manifestu rozszerzenie może prosić o dostęp do serwerów zdalnych spoza swojego źródła.
{
"name": "My extension",
...
"permissions": [
"https://www.google.com/"
],
...
}
Wartości uprawnień z innych domen mogą być w pełni kwalifikowanymi nazwami hostów, takimi jak:
- "https://www.google.com/"
- "https://www.gmail.com/"
Mogą też być wzorcami dopasowania, takimi jak:
- "https://*.google.com/"
- "https://*/"
Wzorzec dopasowania „https://*/” umożliwia dostęp HTTPS do wszystkich osiągalnych domen. Pamiętaj, że w tym przypadku wzorce dopasowania są podobne do wzorców dopasowania skryptów treści, ale informacje o ścieżce występujące po hoście są ignorowane.
Pamiętaj też, że dostęp jest przyznawany zarówno według hosta, jak i schematu. Jeśli rozszerzenie chce mieć dostęp zarówno do bezpiecznego, jak i niebezpiecznego protokołu HTTP do określonego hosta lub zestawu hostów, musi zadeklarować te uprawnienia oddzielnie:
"permissions": [
"http://www.google.com/",
"https://www.google.com/"
]
Kwestie bezpieczeństwa
Unikanie luk w zabezpieczeniach między witrynami
Podczas korzystania z zasobów pobranych za pomocą XMLHttpRequest zadbaj o to, aby Twoja strona w tle nie padła ofiarą skryptów między witrynami. W szczególności unikaj korzystania z niebezpiecznych interfejsów API, takich jak:
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// WARNING! Might be evaluating an evil script!
var resp = eval("(" + xhr.responseText + ")");
...
}
}
xhr.send();
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// WARNING! Might be injecting a malicious script!
document.getElementById("resp").innerHTML = xhr.responseText;
...
}
}
xhr.send();
Zamiast tego wybierz bezpieczniejsze interfejsy API, które nie uruchamiają skryptów:
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// JSON.parse does not evaluate the attacker's scripts.
var resp = JSON.parse(xhr.responseText);
}
}
xhr.send();
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// innerText does not let the attacker inject HTML elements.
document.getElementById("resp").innerText = xhr.responseText;
}
}
xhr.send();
Ograniczenie dostępu do skryptu treści do żądań z innych domen
Podczas wykonywania żądań z innych domen w imieniu skryptu dotyczącego treści uważaj na szkodliwe strony internetowe, które mogą próbować podszywać się pod skrypt treści. W szczególności nie zezwalaj skryptom treści na wysyłanie żądań dowolnych adresów URL.
Przeanalizujmy przykład, w którym rozszerzenie wysyła żądanie z innej domeny, aby umożliwić skryptowi treści sprawdzenie ceny produktu. Jednym (niezabezpieczonym) podejściem jest skonfigurowanie w skrypcie treści dokładnego zasobu, który ma być pobierany przez stronę w tle.
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
if (request.contentScriptQuery == 'fetchUrl') {
// WARNING: SECURITY PROBLEM - a malicious web page may abuse
// the message handler to get access to arbitrary cross-origin
// resources.
fetch(request.url)
.then(response => response.text())
.then(text => sendResponse(text))
.catch(error => ...)
return true; // Will respond asynchronously.
}
});
chrome.runtime.sendMessage(
{contentScriptQuery: 'fetchUrl',
url: 'https://another-site.com/price-query?itemId=' +
encodeURIComponent(request.itemId)},
response => parsePrice(response.text()));
W takiej sytuacji skrypt treści może poprosić rozszerzenie o pobranie dowolnego adresu URL, do którego ma ono dostęp. Złośliwa strona internetowa może sfałszować takie komunikaty i skłonić rozszerzenie do przyznania dostępu do zasobów z innych domen.
Zamiast tego zaprojektuj moduły obsługi wiadomości, które ograniczają liczbę zasobów, które można pobierać. Poniżej skrypt treści zawiera tylko parametr itemId, a nie pełny adres URL.
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
if (request.contentScriptQuery == 'queryPrice') {
var url = 'https://another-site.com/price-query?itemId=' +
encodeURIComponent(request.itemId);
fetch(url)
.then(response => response.text())
.then(text => parsePrice(text))
.then(price => sendResponse(price))
.catch(error => ...)
return true; // Will respond asynchronously.
}
});
chrome.runtime.sendMessage(
{contentScriptQuery: 'queryPrice', itemId: 12345},
price => ...);
Preferowanie protokołu HTTPS zamiast HTTP
Zachowaj też szczególną ostrożność w przypadku zasobów pobieranych przez HTTP. Jeśli Twoje rozszerzenie jest używane w nieprzyjaznej sieci, osoba przeprowadzająca atak sieciowy (inaczej "man-in-the-middle") może zmodyfikować odpowiedź, a potem zaatakować rozszerzenie. W miarę możliwości stosuj protokół HTTPS.
Dostosowywanie zasady bezpieczeństwa treści
Jeśli zmodyfikujesz domyślną zasadę Content Security Policy dla aplikacji lub rozszerzeń, dodając do pliku manifestu atrybut content_security_policy, musisz się upewnić, że wszystkie hosty, z którymi chcesz się połączyć, są dozwolone. Zasada domyślna nie ogranicza połączeń z hostami, ale zachowaj ostrożność podczas dodawania dyrektyw connect-src lub default-src.