浏览器注入JS的安全性问题

Question

为了使用端到端加密，我使用一个小工具加密内容，然后张贴和存储在我们的服务器上。虽然在基于客户端的加密方面有几个问题，但我认为这比根本不加密要好。

该工具不是由网页本身交付的，而是存储在受信任的服务器上，并通过浏览器扩展或Bookmarklet注入到我们希望使用加密的页面中。

目前，使用该工具的页面也在我们的控制之下，并且有些值得信赖。不过，我也喜欢在第三方网页上使用这个工具，比如网站。

这让我想知道，一个恶意的(甚至只是一个草率的)网站可能威胁加密，例如。通过将键或纯文本导入服务器。是否有可能对注入的JS进行沙箱处理，或者DOM事件和JS命名空间是否提供了无法以任何方式阻止的访问？有多大的机会“好的”网站将虹吸钥匙意外？

Answer 1

如果在扩展中执行代码，则代码在单独的上下文中运行(出于安全考虑)，并且可以使代码/密钥不被隐藏到被调用的网页(这与无法检测到在页面中使用某些脚本的网页有所不同)。

例如，GreaseMonkey被设计用来做这种事情(在第三方页面上运行脚本)，而且只要正确编写，受影响的页面就不能读取/操作脚本。

一些不安全的构造，如unsafeWindow，将允许脚本妥协，甚至允许页面以chrome权限运行javascript。