如何在客户端javascript中隐藏/secure会话/加密密钥以防止添加/扩展

Question

这不是一个问题，如果一个web应用程序可以安全/可靠地使用！

但是，如果我有一个会话或加密密钥，并且想在客户端用javascript尽可能好地隐藏它，那么最好的方法是什么？

我一直想使用sessionStorage，直到我发现任何扩展都可以从内容脚本中读取它，至少在Chrome中是这样。在我看来，这是开发人员的一个大错误，因为他们对扩展隐藏了网页javascript，但允许它看到web-storage。到处都说扩展只能看到DOM，但我不认为大多数人认为这也包括web存储！

那么，我如何保护会话密钥，使其远离扩展？无法加密它，因为我只需要隐藏密钥。问题是，会话必须对站点的所有页面都有效，所以我不能只将它保存在javascript中，因为它在每次页面加载时都会刷新。

在我看来，cookie也一样糟糕！

注意:不知道这是否也是其他浏览器的问题

Answer 1

一个允许访问你的页面的扩展可以做任何事情。

作为<script>标签从内容脚本注入到DOM中的代码将被执行，而不管您的页面上下文中的CSP是什么，都将完全访问您的JS上下文。

更不用说chrome.debugger应用编程接口了。

因此，您不能从用户同意在您的页面上运行的扩展保护您的客户端数据，就像您不能从浏览器本身保护您的数据一样。