如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?
在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。
上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。
有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。
Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。
uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:
为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。
换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。
Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。
我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。
这是一个简短的概述,因为您可能不想阅读整个长指南。
1、下载Chrome 扩展源查看器扩展。
2、打开要检查的扩展程序的配置文件页面。
3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。
4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。
安装的扩展怎么样?
虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。
这是如何完成的:
1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearch或Notepad++。
2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。
3、选择搜索 > 高级搜索。
4、在“文件中的单词或短语”字段中键入 unsafe-eval。
5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。
a、要查找路径,请在地址栏中加载 chrome://version/。
b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1
c、将其粘贴到“位于”字段中。
6、确保选择了“包括子文件夹”。
7、点击确定。
Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。
相同的方法应该适用于大多数其他浏览器。
谷歌浏览器下载任务是否会同步到云端账号
谷歌浏览器默认不会将下载任务同步至云端,但可借助Google账号登录实现跨设备下载记录的同步管理。
为什么游戏在Chrome中需要频繁重新加载
分析Chrome浏览器游戏重复加载原因,提供磁盘缓存扩容与预加载设置指南。
如何在Google Chrome浏览器中清除浏览器缓存
掌握在Google Chrome浏览器中清除浏览器缓存的方法,以解决可能的浏览问题并提升性能。
Chrome浏览器的多设备同步功能如何使用
本文将向您展示如何使用Chrome浏览器的多设备同步功能,实现在不同设备上无缝切换和使用浏览器数据。
Google浏览器下载文件传输加速技术
探讨多种文件传输加速技术,提升Google浏览器下载速度与效率。
如何修改谷歌浏览器的默认下载路径
但在使用谷歌浏览器下载资源时,往往是存储在浏览器默认位置,这样即挤占电脑C盘空间,影响运行速度,寻找起来也不方便。那要如何解决这个问题呢?让小编带大家看看怎么设置更改谷歌浏览器的下载路径吧!
如何将谷歌浏览器设置为默认PDF查看器
如何将谷歌浏览器设置为默认PDF查看器?有些小伙伴想将谷歌浏览器设置为默认PDF查看器,下面小编将向大家分享设置教程一览。
如何在win系统和 Mac 上安装和更新谷歌浏览器?
为防止在使用 Google Chrome 访问 Practice Fusion 时出现性能问题,我们鼓励用户将其浏览器更新至 Chrome 版本 59 0 3071 86。
怎么下载chromium最新版本?<下载与安装方法>
Chromium是Google主导开发的一款网页浏览器,基于KHTML的Webkit渲染引擎,以BSD许可证等多重自由版权发行并开放源代码。
chrome谷歌浏览器XP版怎么下载离线安装包?
作为最受欢迎的三大浏览器之一,谷歌chrome拥有大量的用户,但它有一个缺点,就是一般用户只能在线安装,安装后找不到安装程序。
如何为谷歌浏览器密码设置桌面快捷方式
如何为谷歌浏览器密码设置桌面快捷方式?如果你想为谷歌浏览器密码设桌面快捷方式,可以看看下面这篇设置教程一览。
google浏览器怎么开启增强型保护功能
许多小伙伴为了保护自己上网安全都会开启谷歌里内置的增强型保护功能。但还有些小伙伴不了解怎么设置。下面就来教大家快速开启的方法。
无法在Windows上从Google Chrome下载或保存图像怎么办?
谷歌浏览器是互联网上最好和最广泛使用的浏览器之一。但是,有时由于隐藏的错误,它可能会遇到问题。
如何修复Google Chrome 上的 SSL 证书错误?
我们都知道Google Chrome是Windows 10 上最好的浏览器之一,它具有扩展和增强的安全浏览等功能,使网络体验真正安全和高效。但是我们在Chrome上经常会遇到SSL证书错误等恼人的问题。即使重新安装 Chrome 后,“ERR_SSL_PROTOCOL_ERROR”也不会消失。
如何修复 Chrome 浏览器中的错误 429?
通过 Chrome 浏览器使用不同的 Google 产品时,您可能会遇到错误 429。通常由于缓存堆积或有时互联网连接不良而出现此问题。
如何将 Chrome 中的下载内容自动保存到 Date 文件夹?
按日期组织下载是 Google Chrome 网络浏览器的扩展,可自动将下载保存到日期文件夹。Chrome 与其他任何浏览器一样,默认情况下会将下载内容保存到单个目录中。在 Windows 上,通常将所有内容保存到系统上的 Downloads 文件夹。
谷歌浏览器上传文件就无响应怎么解决
谷歌浏览器上传文件就无响应怎么解决?你知道世界上最强的浏览器——谷歌浏览器吗?
谷歌浏览器怎么快捷截图?<截图操作方法>
谷歌浏览器怎么截图呢?快捷键是哪个?谷歌浏览器是由Google公司开发的一款网页浏览器。功能强大,非常实用,速度快,稳定性强,安全性高。那么谷歌浏览器该如何操作截图呢?下面就一起来看看具体的操作方法吧!
