在 Chrome 扩展中使用 localStorage 或 chrome.storage 的安全问题答案

【问题标题】：Security concerns for using localStorage or chrome.storage inside Chrome Extensions在 Chrome 扩展中使用 localStorage 或 chrome.storage 的安全问题
【发布时间】：2024-05-23 15:45:01
【问题描述】：

我正在构建一个需要保留用户敏感数据的 chrome 扩展程序。我知道你可以使用 HTML5，但它很容易受到 XSS 和其他形式的攻击。我最近发现了 chrome.storage 但文档说：

不应存储机密用户信息！存储区没有加密。

现在我的问题是：

是否有一种安全的方法可以在浏览器中存储敏感的用户数据（即私钥）？

【问题讨论】：

你应该提交一个错误来请求这个功能。我们已经考虑过并正在收集用例。 crbug.com/new
@sowbug，好主意，现在就去做。您是否打开了类似的问题，或者您是否知道要投票而不是打开新问题的类似问题？

标签： html google-chrome google-chrome-extension local-storage

【解决方案1】：

默认的content security policy 几乎可以保护您免受 XSS 的侵害，前提是您没有做任何非常愚蠢的事情。您可以使用某种库来加密本地数据并让用户输入密码来解密数据。此时的攻击向量更多地围绕计算机上的恶意软件和其他具有物理访问权限的人。 Chrome 扩展程序本身受到很好的保护，不受其他网站的影响。

但最终，无论您做什么，安装在计算机上或有权访问计算机的任何东西都有可能访问私人信息。我的建议是确保用户了解所存储数据的敏感程度，并且他们需要在访问计算机时采取适当的安全预防措施。

【讨论】：