¿Las extensiones de Chrome pueden realizar solicitudes de origen cruzado inyectando un javascript en la página principal? Si es así, ¿no es una vulnerabilidad de seguridad?
¿Las extensiones de Chrome pueden realizar solicitudes de origen cruzado inyectando un javascript en la página principal? Si es así, ¿no es una vulnerabilidad de seguridad?
En realidad, ni siquiera tienen que inyectar JavaScript en la página principal. Las extensiones pueden requerir permisos para realizar solicitudes de Origen cruzado a ciertos sitios web, consulte enlace . Incluso pueden usar el permiso <all_urls>
para obtener acceso de origen cruzado para todos los sitios web. Esto no es una vulnerabilidad de seguridad, ya que tiene que instalar manualmente una extensión y otorgar los permisos de instalación, lo que lo hace responsable de todo lo que suceda.
Lea otras preguntas en las etiquetas javascript browser-extensions crossdomain