仅从 Chrome 扩展程序访问页面答案

【问题标题】：Access to page only from Chrome extension仅从 Chrome 扩展程序访问页面
【发布时间】：2011-10-04 07:55:25
【问题描述】：

我正在开发我的小型 Chrome 扩展程序，它将我的 php 页面加载到弹出窗口中（通过 iframe）。但是这个扩展不应该被其他任何人访问，只有我的扩展的用户才能访问。有什么办法，怎么办？（标头、cookie、秘密哈希等）

【问题讨论】：

headers: 不，可以模仿。 cookies：不，可以模仿。秘密哈希：不，可以模仿。简而言之：您尝试做的事情在概念上是破碎的，但如果您可以忍受破碎的事情，您可以按照您在问题中建议的那样去做。
在概念上什么是正确的？
您首先需要了解客户端 =/= 服务器。然后您可能会了解浏览器插件不适合您的任务的扩展程度。由于您已经决定使用浏览器插件，因此从概念上讲正确的是了解您的方法存在的缺点并接受它。见Pekka's answer。

【解决方案1】：

没有 100% 可靠的方法。

使用秘密哈希，并在 PHP 脚本中对其进行测试是一种选择：

www.example.com/mypage.php?key=129031349123423423904234

但是，这相对容易被欺骗 - 我可以监控流量，窃取秘密哈希，然后手动输入。

我能想到的唯一更安全的方法是使用 https，并将秘密哈希从扩展程序中发布到目标页面。对于可以反汇编和/或监视浏览器扩展内部发生的事情的人来说，这也不是 100%，但这并非易事，而且可能是您能做的最好的事情！

【讨论】：