如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?
在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。
上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。
有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。
Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。
uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:
为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。
换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。
Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。
我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。
这是一个简短的概述,因为您可能不想阅读整个长指南。
1、下载Chrome 扩展源查看器扩展。
2、打开要检查的扩展程序的配置文件页面。
3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。
4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。
安装的扩展怎么样?
虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。
这是如何完成的:
1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearch或Notepad++。
2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。
3、选择搜索 > 高级搜索。
4、在“文件中的单词或短语”字段中键入 unsafe-eval。
5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。
a、要查找路径,请在地址栏中加载 chrome://version/。
b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1
c、将其粘贴到“位于”字段中。
6、确保选择了“包括子文件夹”。
7、点击确定。
Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。
相同的方法应该适用于大多数其他浏览器。
谷歌浏览器下载任务管理技巧及操作指南
谷歌浏览器提供多种任务管理功能,用户可暂停、恢复及分类管理下载内容,全面提升下载任务的效率与可控性。
谷歌浏览器怎么删除保存的付款方式
谷歌浏览器怎么删除保存的付款方式?接下来小编给大家带来谷歌浏览器移除保存的付款方式具体方法,有需要的朋友快来学习看看吧。
如何在Chrome中管理扩展程序优化浏览器性能
探讨如何在Chrome浏览器中管理扩展程序,优化浏览器性能,提升使用效率。
微软为旗下edge浏览器推出24款精美主题是什么
日前,微软Microsoft为旗下浏览器Edge推出了24款精美主题。微软表示,这些主题可以“创造美丽和沉浸式的视觉体验”,将很快在Edge附加组件商店中添加更多主题。
Google Chrome移动端下载入口设置技巧
分享Google Chrome移动端下载入口的设置技巧,提升移动设备上的下载体验
如何在Chrome浏览器中使用标签页分组功能
学习如何在Chrome浏览器中使用标签页分组功能,方便管理多个标签页,提高浏览体验,提升工作效率。
在 Ubuntu 18.04 LTS 上如何安装 Google Chrome?
谷歌浏览器是一个很棒的网络浏览器。它有一个漂亮的用户界面(UI)。它快速且免费使用。它受到世界各地许多人的青睐。Web 开发人员也喜欢 Google Chrome,因为它具有出色的开发人员工具。
如何在安卓手机上安装Chrome浏览器?
谷歌浏览器 Google Chrome完全免费,跨平台支持 Windows、Mac 和 Linux 桌面系统,同时也有 iOS、Android 的手机版 平板版,你几乎可以在任何智能设备上使用到它。
谷歌浏览器ubuntu版的安装方法及打不开的解决方法
你使用过ubuntu16 04系统吗,你知道怎么在ubuntu16 04系统中安装谷歌浏览器吗?安装之后如果打不开又该怎么办呢,快来和小编一起学习吧!
如何下载谷歌 Chrome 67稳定版系统32|64位?
谷歌的Krishna Govind表示:“我们继续在Chrome 67的稳定版本中推广站点隔离功能。站点隔离可以提高Chrome的安全性,减少Spectre漏洞的负面影响。
谷歌浏览器pc版离线安装包下载和安装方法详细介绍!
Chrome谷歌浏览器是目前使用人数、好评都比较高的一款浏览器了、深受用户的喜爱,追求的是全方位的快速体验。
如何自动升级Google chrome浏览器
如何自动升级Google chrome浏览器?Google浏览器用了很久了,但是我还没有考虑升级Google浏览器的问题。
如何保存、编辑和删除您的 Chrome 密码?
保存密码非常方便,自动填写您的登录信息,因此您不必记住。但是,如果您的 Google 帐户遭到入侵,您可能会丢失所有访问权限和信息,这就是我们建议使用安全密码管理器的原因。最终,您保存在Google Chrome中的密码与存储密码的设备一样安全。
谷歌浏览器闪退是什么原因
谷歌浏览器闪退是什么原因?接下来小编就给大家带来谷歌浏览器闪退常见原因及解决方法,有需要的朋友赶紧来看看吧。
如何使用 Google Drive 在 Gmail 上共享大文件?
最近,Gmail 界面发生了重大变化。您见证了在 Gmail 界面中撰写、回复或转发邮件等操作的新弹出窗口。用户接受这些更改并且也在寻找下一个更改。Google Drive 与 Gmail 撰写窗口集成在一起。这种集成使您能够轻松地在 Gmail 中共享更大的文件
chrome开启画中画白(黑)屏怎么办_画中画白(黑)屏解决方法
大家有没有遇到chrome开启画中画白(黑)屏的问题,你知道如何解决吗,来和小编一起解决问题吧
如何在 Google Chrome 中启用屏幕截图编辑器?
Google Chrome 的开发团队正在努力将屏幕截图编辑器添加到浏览器内的屏幕截图工具中。该功能已经存在于 Chrome 的 Canary 版本中,但隐藏在功能标志后面。
如何阻止谷歌浏览器无响应?
使用 Google Chrome 时,您的浏览器可能会由于某些原因变得无响应。这种情况可能会令人沮丧,尤其是当您正在做一些重要的事情时。本文提供了一些提示,您可以使用这些提示来阻止您的 Google Chrome 浏览器无响应。
