页面操作是否可以记录在键盘上，或者是否可以安全、独立地交付

Question

我很好奇chrome扩展覆盖层是否被安全和纯粹地交付，以及是否有人可以“监听”内部事件。

如果用户要通过chrome扩展输入密码，我能保证没有其他浏览器脚本记录该密码吗？我将使用2FA散列密码，以便网络请求是安全的，但我很好奇是否有人可以在页面操作中获得<input>的innerHtml。

我之所以问这个问题，是因为我知道，如果iFrames托管在一个不安全的环境中，那么它们通常是不安全的，在这种环境中，它们可能会被外观相似的、中间的人、网络钓鱼调色板“取代”

谢谢

Answer 1

只有当你将一些元素注入到网页中时，它才会是网页的一部分(例如，注入的<script>中的代码)，并对任何其他页面脚本开放。

内部页面和扩展的脚本，如页面操作或工具条弹出窗口或背景页面，甚至内容脚本环境(变量/函数)都无法从web访问。除了少数例外，你甚至不能在你的扩展中直接访问另一个，因为它们就像不同的选项卡/窗口:应该使用消息传递。

网页知道你的扩展内部发生了什么的唯一方法是显式地向它提供来自你的扩展的信息。例如，您必须显式地通过DOM消息传递来发送信息。或者通过显式的externally_connectable机制。

Answer 2

也许其他脚本不能记录密码，但是您还需要保护来自本地组件(如KeyLogger )的输入，它们总是可以在冒泡到浏览器进程之前获得您键入的内容。所以我想原生组件也是需要的，它可以对抗恶意的键盘记录器，并确保他们不能获得有效的用户输入。