Evita que se refleje la página modificada por la extensión del navegador

3

Supongamos que hay una extensión de navegador confiable en un navegador Chrome que modifica la página web (como editar DOM, agregar scripts, etc.)

No quiero que nadie, excepto yo, vea la página modificada por esta extensión, ya que ahora podría contener datos confidenciales. Aunque es posible que los controladores js reflejen la página modificada de nuevo en el servidor. Problema 1: ¿Cómo puedo aislar la página modificada?

Por otro lado, es importante que la página dada permita que las conexiones salientes carguen y actualicen dinámicamente el contenido de la página.

Así que esta configuración no funcionará:

No hay forma de que pueda filtrar el tráfico de la página desde el servidor no confiable (se sirve desde una fuente no confiable. El tráfico está cifrado, el protocolo es desconocido y podría cambiar) Problema 2: ¿Cómo no romper las actualizaciones dinámicas de la página?

Básicamente, necesito al menos un aislamiento unidireccional de la página. La extensión del navegador debe ser capaz de hacer lo que sea necesario, y nada debería permitir que los scripts de página hagan con el contenido de la extensión del navegador.

    
pregunta kupihleba 06.08.2018 - 23:57
fuente

1 respuesta

1

Puede evitar de forma segura que la página web del host acceda a los datos mostrados por la extensión haciendo que la extensión incruste su contenido dentro de una ventana emergente o desplegable de extensión (esta es la solución utilizada por Extensión E2Email de Google ) o dentro de un iframe incrustado en la página. El iframe debe tener su atributo src establecido en un valor además de "about: blank". (Si se establece en "about: blank", la página web del host puede acceder a su contenido debido a la misma política de origen). El src de iframe puede apuntar a una URL contenida en un dominio en el que el usuario confía, o puede apuntar a un archivo html contenido dentro de la extensión. La página dentro del iframe puede tener javascript que se comunica directamente con la extensión del navegador, dejando la página web del host completamente fuera del bucle.

    
respondido por el Macil 07.08.2018 - 01:12
fuente

Lea otras preguntas en las etiquetas