BrowExt - permissions & host_permissions

您可以在此处找到，以及。

可选但强大的**host_permissions**设置指示扩展将能够通过诸如、和等API与哪些主机进行交互。

此外，host_permissions还解锁了“高级”功能。它们允许扩展调用，不仅可以获取用户浏览器标签的列表，还可以了解加载的网页（即地址和标题）。

不仅如此，像这样的监听器也变得更加有用。每当新页面加载到标签中时，它们将收到通知。

内容脚本不一定是静态写入扩展清单中的。在具有足够的**host_permissions**的情况下，扩展还可以通过调用或动态加载它们。

一些扩展权限无需明确声明。一个例子是：它的基本功能可以在没有任何权限的情况下访问。任何扩展都可以在您打开和关闭标签时收到通知，只是它不会知道这些标签对应的是哪个网站。

听起来太无害了吗？ 就不那么无害了。它可以用于创建一个新标签，基本上与相同，任何网站都可以调用它。然而，window.open() 受到弹出窗口拦截器的限制，而tabs.create()则没有。

如果您查看可能的tabs.create()参数，您还会注意到它的功能远远超出了window.open()被允许控制的范围。而且，虽然 Firefox 不允许使用data: URI 与此 API 一起使用，但 Chrome 没有这种保护。在顶级使用这种 URI 已经。

与tabs.create()非常相似，但会修改现有标签。因此，恶意扩展可以任意地将广告页面加载到您的标签中，并且还可以激活相应的标签。

但浏览器扩展不是这样。如果浏览器扩展，它只需要请求一次权限

通过访问或，无需明确授予权限。扩展只需将geolocation或clipboard添加到中。这些访问权限在安装扩展时隐式授予。因此，具有这些权限的恶意或受损扩展可以创建您的移动轨迹或监视您的剪贴板以复制密码，而您却察觉不到。

将**history关键字添加到扩展清单的中授予对的访问权限**。它允许一次性检索用户的整个浏览历史记录，而无需等待用户再次访问这些网站。

bookmarks 权限具有类似的滥用潜力，它允许通过读取所有书签。

扩展存储仅是一个键值集合，与任何网站都可以使用的非常相似。因此，不应在此处存储敏感信息。

您可以在此处找到，以及。

浏览器可以进一步限制扩展权限的滥用。例如，Chrome 的 和 API，用于屏幕录制，旨在最小化滥用。tabCapture API 只能通过直接用户交互（例如单击扩展图标）激活，而 desktopCapture 需要用户确认才能录制窗口，防止秘密录制活动。

然而，加强安全措施通常会导致扩展的灵活性和用户友好性降低。说明了这种权衡。它旨在消除扩展需要跨整个互联网请求主机权限的需求，允许扩展仅在用户明确激活时访问当前标签。这种模式对于需要用户发起操作的扩展非常有效，但对于需要自动或预防性操作的扩展来说效果不佳，从而损害了便利性和即时响应性。

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看!

获取

探索，我们的独家

加入 💬 或 或 关注我们的Twitter 🐦 。

通过向和 github仓库提交PR来分享您的黑客技巧。