如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?
在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。
上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。
有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。
Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。
uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:
为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。
换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。
Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。
我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。
这是一个简短的概述,因为您可能不想阅读整个长指南。
1、下载Chrome 扩展源查看器扩展。
2、打开要检查的扩展程序的配置文件页面。
3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。
4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。
安装的扩展怎么样?
虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。
这是如何完成的:
1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearch或Notepad++。
2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。
3、选择搜索 > 高级搜索。
4、在“文件中的单词或短语”字段中键入 unsafe-eval。
5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。
a、要查找路径,请在地址栏中加载 chrome://version/。
b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1
c、将其粘贴到“位于”字段中。
6、确保选择了“包括子文件夹”。
7、点击确定。
Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。
相同的方法应该适用于大多数其他浏览器。
Chrome与火狐哪个浏览器的插件更新更频繁
有很多用户不了解Chrome与火狐哪个浏览器的插件更新更频繁?于是,本文将从几个方面给大家详细分析一下。
Chrome浏览器插件自动化测试框架设计方案
介绍Chrome插件自动化测试框架的搭建方式与测试流程,有效提升插件开发与迭代效率。
google浏览器下载任务异常检测与快速修复技巧
本文详细介绍google浏览器下载任务的异常检测和快速修复技巧,帮助用户高效定位下载问题并及时处理,保障下载任务顺利完成。
Chrome浏览器扩展功能推荐及使用指南
在Chrome浏览器中使用扩展功能可以提升浏览体验。推荐实用的扩展插件,帮助提高工作效率、简化操作、增加功能,打造个性化的浏览环境。
Chrome浏览器下载文件自动备份设置
详细讲解Chrome浏览器下载文件的自动备份功能设置方法,有效避免下载文件意外丢失风险,确保重要数据安全保存,提升文件管理的便捷性和安全性。
谷歌浏览器如何设置自定义搜索引擎快捷方式
谷歌浏览器允许用户为常用的搜索引擎设置快捷方式,简化搜索操作,节省时间。无论是谷歌、百度还是其他搜索引擎,用户都能快速访问并定制自己最喜欢的搜索方式。
如何在Windows 11上安装谷歌浏览器?
本文解释了如何在上安装谷歌浏览器Windows 11,包括如何让Chrome成为你的默认网络浏览器。
怎样下载谷歌浏览器到电脑桌面
怎样下载谷歌浏览器到电脑桌面?谷歌浏览器是一款速度非常快的浏览器,设计非常简洁,使用起来非常方便,备受用户们的好评。
笔记本安装谷歌浏览器失败错误0x80004002怎么办?<解决方法>
小编相信大家或多或少的都听过有人说哪个浏览器最好用——谷歌浏览器,但是当自己安装和使用谷歌浏览器时就会出现了一大堆的问题。
更新chrome后提示Adobe Flash Player因过期而遭到阻止怎么解决?
最近很多用户更新Chrome谷歌浏览器,打开网页后出现“Adobe Flash Player因过期被阻止”的错误信息。
如何访问 Chrome Beta?访问 Chrome Beta 操作技巧
Google Chrome 有四个发布渠道:Stable、Beta、Dev 和 Canary。Google Chrome 有四个发布渠道:Stable、Beta、Dev 和 Canary。
如何在 Chrome 中自动打开下载?设置文件直接在 Chrome 开启的方法
谷歌浏览器是一款快速、安全且免费的网络浏览器,能很好地满足新型网站对浏览器的要求。
我该如何进行谷歌浏览器断点调试?<基础教程>
你知道该如何进行谷歌浏览器的断点调试吗?一起来和小编学学吧!
如何在 Google Chrome 中预览 Google 搜索结果?
Google Results Previewer 是 Google Chrome 的新浏览器扩展程序,可直接在 Google 搜索上预览搜索结果。
谷歌浏览器如何开启网页预加载功能
谷歌浏览器如何开启网页预加载功能?接下来小编给大家带来谷歌浏览器启用网页预加载功能方法技巧,有需要的朋友赶紧来看看吧。
google chrome可以将密码导出到电脑本地吗
google chrome可以将密码导出到电脑本地吗?不了解的小伙伴快和小编一起看看下面的操作教程吧。
谷歌浏览器json插件怎么安装
谷歌浏览器json插件怎么安装?下面小编就给大家带来谷歌浏览器安装json插件详细流程一览,有需要的朋友赶紧来本站看看了解一下吧。
使用Chrome书签的11个秘密!
Chrome书签可以让你轻松标记出你想重新访问的页面。但是,部分是因为给一个页面添加书签太容易了,书签可能会有点失控。有时很难找到你想要的书签。即使你已经掌握了基本知识,还有很多大多数人不知道的书签功能。
