我有一个带有客户端 javascript 的 asp.net 网站,它向服务器发出大量 ajax 调用。有什么方法可以阻止 google chrome 扩展调用我的 ajax 端点或检测它们何时由 chrome 扩展代码而不是我自己的 javascript 代码生成。到目前为止,我已经使用引荐来源 httponly cookie 进行了测试,但是这两个调用之间没有区别。任何想法将不胜感激。
【问题讨论】:
标签: javascript asp.net ajax google-chrome google-chrome-extension
没有,没有。
Chrome 扩展程序具有提升的权限。他们“允许”您的网站 JavaScript 代码,并可能操纵和调用它。
即使您添加了诸如反 CSRF 令牌之类的东西,扩展程序仍然可以读取它并绕过该保护。他们可以在您的网站上运行 JavaScript 代码,并在不通知您或您的用户的情况下在网站上即时修改您自己的代码。
您唯一能做的就是不信任客户端处理任何关键问题,将收到的所有请求视为恶意请求,并要求客户端在向您的服务器发出请求之前进行身份验证.
(我假设您的意思是在您的网站上运行的 chrome 扩展程序)
【讨论】:
window.secretClosureScoped = yourSecretCloseScoped 添加到 your 代码(例如将其解析为字符串)。他们只是允许你,有更好的钩子和更多的权限。