Asegurar un servicio web consumido por la extensión de Chrome

No es posible evitar que un usuario falsifique solicitudes. Su marco debería ser tal que las solicitudes falsificadas enviadas por un usuario no deberían importar. Por ejemplo, puedo falsificar comentarios POST solicita todo lo que quiero a Facebook y solo recibiré un montón de comentarios. No hay restricciones solo del lado del cliente que me impidan hacer algo que no debo hacer. No puedo publicar en un grupo cerrado modificando el ID de grupo en una solicitud POST. El servidor simplemente bloqueará la solicitud. Si no quieres que tus usuarios puedan hacer algo, bloquéalo en el lado del servidor.

Sin embargo, lo que puede hacer es utilizar un buen sistema de autenticación de usuarios para evitar que un usuario falsifique la solicitud de otro usuario . Conéctese a OpenID o use una cookie de sesión persistente (para evitar pedirle al usuario que se autentique cada vez) y su propia autenticación. Esto evitará que un usuario falsifique la solicitud de otro usuario .

Imposible.

Puedo tomar el código fuente de su extensión y falsificar cualquier solicitud que desee. Incluso puedo cambiar el contenido de tu extensión (las extensiones de Chrome son básicamente Javascript, por lo tanto es mucho más fácil que parchear el código binario) y luego dejar que la extensión haga lo que yo quiera.

Nunca debes confiar en el código que se ejecuta en el lado del cliente. Cada suma de comprobación, secreto compartido o cualquier otra cosa se puede falsificar cuando el atacante tiene acceso al código y la configuración.