use*_*293 3 google-chrome-extension
我想知道在后台页面中的变量中存储一些信息是否会引发安全问题?
网站或其他扩展程序是否可以访问这些变量?
我目前有一个带登录系统的扩展(我在localStorage中存储了密码的哈希,所以当用户尝试连接到系统时我会比较哈希).我正在考虑使用一个模块来扩展它,该模块会在内存中保留密码,直到注销或超时.我不想使用localStorage以明确的方式存储密码,所以我想将它存储在后台页面中,但可能更糟糕......
如果这不安全,你能否给我一个关于如何实现这样的模块的提示?
谢谢.
除非您自己实现此功能,否则其他扩展和网站无法访问您的后台页面的存储.
在分机的后台页面保存数据与Chrome的密码管理器一样安全.
Chrome在没有加密的情况下将其凭据存储在SQLite数据库中profile directory/Default/Login Data
来自chrome.storagelocalStorage,HTML5文件系统,IndexedDB等的数据保存在Chrome的个人资料目录中.有权访问您的个人资料目录的任何人都可以读取数据.任何打开背景页面的devtools的人都可以查看存储的值.
如果配置文件目录是安全的,则无需担心方法的安全性.
否则,您必须在便利性和安全性之间进行权衡.继续询问用户密码是否可以接受?然后尝试保存会话标识符,并在会话过期时请求凭据.或者使用oAuth.