如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?
在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。
上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。
有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。
Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。
uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:
为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。
换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。
Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。
我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。
这是一个简短的概述,因为您可能不想阅读整个长指南。
1、下载Chrome 扩展源查看器扩展。
2、打开要检查的扩展程序的配置文件页面。
3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。
4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。
安装的扩展怎么样?
虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。
这是如何完成的:
1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearch或Notepad++。
2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。
3、选择搜索 > 高级搜索。
4、在“文件中的单词或短语”字段中键入 unsafe-eval。
5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。
a、要查找路径,请在地址栏中加载 chrome://version/。
b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1
c、将其粘贴到“位于”字段中。
6、确保选择了“包括子文件夹”。
7、点击确定。
Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。
相同的方法应该适用于大多数其他浏览器。
谷歌浏览器电脑版
硬件:Windows系统 版本:130.0.6723.59 大小:9.75MB 语言:简体中文 评分: 发布:2023-07-23 更新:2024-05-28 厂商:谷歌信息技术(中国)有限公司
谷歌浏览器安卓版
硬件:安卓系统 版本:0.3.0.455 大小:187.89MB 语言:简体中文 评分: 发布:2022-08-18 更新:2024-10-11 厂商:Google Inc.
谷歌浏览器苹果版
硬件:苹果系统 版本:122.0.6261.89 大小:200.4MB 语言:简体中文 评分: 发布:2022-01-23 更新:2024-03-12 厂商:Google LLC
跳转至官网
谷歌浏览器开发者模式怎么打开
谷歌浏览器开发者模式怎么打开?本篇文章就给大家带来谷歌浏览器开启开发者模式的操作教程,希望能够给大家带来帮助。
谷歌浏览器无法翻译此网页如何解决
谷歌浏览器无法翻译此网页如何解决?接下来就让小编给大家带来谷歌浏览器解决不能翻译网页问题教程详解,希望大家能够通过这个方法获取到帮助。
谷歌浏览器怎么同步书签
谷歌浏览器怎么同步书签?下面就让小编就给大家带来谷歌浏览器设置同步书签具体步骤,希望能够对大家有所帮助。
谷歌浏览器如何修改个人头像
谷歌浏览器如何修改个人头像?接下来小编就给大家带来谷歌浏览器更换个人头像方法步骤,感兴趣的朋友千万不要错过了。
ie浏览器自动跳转edge怎么关闭
本篇文章给大家带来取消ie浏览器自动跳转到edge浏览器的详细操作流程,还不清楚怎么操作的朋友赶紧来看看吧。
360安全浏览器怎么设置兼容模式?
360安全浏览器怎么设置兼容模式?要知道360安全浏览器可是带有两种不同的网页模式,这两种分别是兼容模式,跟网页模式。
谷歌浏览器如何访问实验室功能
谷歌浏览器如何访问实验室功能?如果你想访问这些功能可以参考下面的访问图文教程一览。
如何使用Chrome浏览器在平板上在线学习
本篇文章给大家带来利用平板和Chrome在线教育学习方法步骤,对此感兴趣的朋友快来详细了解一下吧。
如何在没有网络的情况下下载Google Chrome浏览器离线安装程序?
每次重装电脑,第一件事就是去谷歌Chrome官网下载安装程序。相信谷歌浏览器也是很多人日常工作或使用的首选。
怎么下载chromium最新版本?<下载与安装方法>
Chromium是Google主导开发的一款网页浏览器,基于KHTML的Webkit渲染引擎,以BSD许可证等多重自由版权发行并开放源代码。
如何在电脑上下载windos版谷歌浏览器?<下载方法>
Google Chrome是广泛应用于各种设备和操作系统的浏览器。最好的是,它适用于所有操作系统。所以,无论你使用macOS、WindowsOS还是Linux,你都可以使用Chrome浏览器。你只需进入Chrome官方网站,点击下载Chrome即可在你的电脑上下载操作系统的最新更新版本。现在,你需要安装下载的文件并开始使用Chrome。
谷歌浏览器如何选择安装位置?<选择方法>
在使用谷歌浏览器的过程中,经常会下载一些文件或小程序。浏览器的下载位置默认在桌面,但是桌面属于c盘,下载的东西太多影响电脑运行速度。
谷歌浏览器如何把钟爱的网站变成应用
你有没有想要知道的谷歌浏览器使用技巧呢呢,你知道谷歌浏览器如何把钟爱的网站变成应用吗?来了解谷歌浏览器把钟爱的网站变成应用的具体步骤,大家可以学习一下。
如何在 Google Chrome 中启用标签组?
您的浏览器中是否打开了太多选项卡?你在使用谷歌浏览器吗?然后谷歌浏览器提供了“标签组”功能。这是一种让标签保持井井有条的有趣方式。同一组下的所有选项卡都井井有条,颜色编码并带有适当的标签。
如何禁用 Chrome 的标签图像预览?
很长一段时间以来,谷歌一直致力于在公司的 Chrome 网络浏览器中开发新的标签预览功能。当您将鼠标光标悬停在浏览器窗口中的选项卡上时,Chrome 当前会在卡片中显示页面标题和 URL。
如何在谷歌浏览器中突出显示和分享来自网站的报价?
有时您想突出显示和分享网站上的部分文本,无论是与朋友、同事还是在社交媒体上。虽然您始终可以使用简单的突出显示工具来实现此目的,但 Google Chrome 正在测试一种时尚的卡片功能,可让您轻松分享来自网站的报价。
如何使用 Chrome 扩展 AdNauseam 混淆 Google Ads?
如果您希望维护自己的在线隐私,AdNauseam 可以通过混淆 Google Ads 来帮助您。
如何在你的Windows桌面上制作Chrome快捷方式?
本文解释了如何在Google Chrome中创建一个网站的快捷方式,并将其添加到您的桌面、文件夹或任务栏中。
