Estoy escribiendo una aplicación que se comunica con una extensión de Chrome a través de la conexión websocket. Me pregunto si hay una manera de detectar si la conexión se origina realmente desde la extensión. La razón por la que me hago esta pregunta es porque estoy considerando un modelo de amenaza en el que puede haber un script malicioso ejecutándose en la computadora y tratando de comunicarme con la aplicación.
Soy consciente de que los navegadores siempre colocan el ID de la extensión en el encabezado "Origen" del protocolo de enlace de websocket. Sin embargo, eso puede ser fácilmente falsificado por un script malicioso que se ejecuta fuera de los navegadores.