1

我有一个带有客户端 javascript 的 asp.net 网站,它向服务器发出大量 ajax 调用。有什么方法可以阻止 google chrome 扩展调用我的 ajax 端点或检测它们何时由 chrome 扩展代码而不是我自己的 javascript 代码生成。到目前为止,我已经使用引荐来源 httponly cookie 进行了测试,但是这两个调用之间没有区别。任何想法,将不胜感激。

4

1 回答 1

3

,没有。

Chrome 扩展程序具有提升的权限。他们“允许”您的网站 JavaScript 代码,并可能操纵和调用它。

即使您添加了诸如反 CSRF 令牌之类的东西,扩展仍然可以读取它并绕过该保护。他们可以在您的网站上运行 JavaScript 代码,并在不通知您或您的用户的情况下在网站上即时修改您自己的代码。

您唯一能做的就是不要将任何关键的东西信任客户端,将您收到的所有请求都视为恶意请求,并要求客户端在向您的服务器发出请求之前进行身份验证。

(我假设您的意思是在您的网站上运行的 chrome 扩展程序)

于 2013-06-21T01:42:58.490 回答