如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?

 发布时间:2022-05-20  213 来源:谷歌浏览器官网
谷歌浏览器电脑版 谷歌浏览器电脑版

硬件:Windows系统 版本:122.0.6261.6 大小:66.69MB 语言:简体中文 评分: 发布:2023-07-23 更新:2024-05-28 厂商:谷歌信息技术(中国)有限公司

谷歌浏览器安卓版 谷歌浏览器安卓版

硬件:安卓系统 版本:107.0.5304.105 大小:174.16MB 语言:简体中文 评分: 发布:2022-08-18 更新:2024-03-12 厂商:Google Inc.

谷歌浏览器苹果版 谷歌浏览器苹果版

硬件:苹果系统 版本:122.0.6261.89 大小:198.4 MB 语言:简体中文 评分: 发布:2022-01-23 更新:2024-03-12 厂商:Google LLC

  在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。

  上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。

  有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。

  Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。

如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?

  uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:

  为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。

  换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。

  Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。

  我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。

  这是一个简短的概述,因为您可能不想阅读整个长指南。

  1、下载Chrome 扩展源查看器扩展

  2、打开要检查的扩展程序的配置文件页面。

  3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。

  4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。

  安装的扩展怎么样?

  虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。

  这是如何完成的:

  1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearchNotepad++

  2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。

  3、选择搜索 > 高级搜索。

  4、在“文件中的单词或短语”字段中键入 unsafe-eval。

  5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。

  a、要查找路径,请在地址栏中加载 chrome://version/。

  b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1

  c、将其粘贴到“位于”字段中。

  6、确保选择了“包括子文件夹”。

  7、点击确定。

  Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。

  相同的方法应该适用于大多数其他浏览器。

相关阅读
在 Chrome 中怎么撤销删除下载

在 Chrome 中怎么撤销删除下载

每当您使用 Google Chrome 网络浏览器下载文件时,它都会自动添加到下载历史记录中,您可以通过在地址栏中加载 chrome: downloads 来访问它。它还会保存到您选择的本地存储位置,前提是在此之前它没有被标记为恶意。

如何下载安装谷歌浏览器win64位?值得使用吗?

如何下载安装谷歌浏览器win64位?值得使用吗?

在具有 64 位处理器的计算机上使用 Windows 7、8 或 8 1 的任何人都可以使用 Chrome 64 位。

谷歌浏览器电脑版正确下载方法你知道吗?

谷歌浏览器电脑版正确下载方法你知道吗?

Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。

Chrome浏览器如何开启自动验证功能

Chrome浏览器如何开启自动验证功能

Chrome浏览器如何开启自动验证功能?下面就让小编给大家带来Chrome浏览器自动验证开启教程,感兴趣的朋友千万不要错过了。

谷歌浏览器的下载及使用教程_谷歌浏览器下载攻略

谷歌浏览器的下载及使用教程_谷歌浏览器下载攻略

你会下载谷歌浏览器吗?你会使用谷歌浏览器吗?谷歌浏览器的便捷功能你都知道吗?如果不是很清楚的话就来一起学学吧!

win10系统如何使用谷歌浏览器下载软件?

win10系统如何使用谷歌浏览器下载软件?

不同的操作系统使用浏览器的体验会有所不同。如果用户现在使用的是win10操作系统,那么在使用谷歌Chrome时如何下载想要的软件来使用呢?这是很多用户想知道的问题。用户可以自由使用手机在平台上搜索自己想要的软件,然后安装使用。

如何在谷歌浏览器中打开夜间模式

如何在谷歌浏览器中打开夜间模式

如何在谷歌浏览器中打开夜间模式?夜间模式功能现在可用于许多应用程序,并且已经使用了很长时间。

chrome如何使用隐姓埋名保护自己?

chrome如何使用隐姓埋名保护自己?

Chrome的隐姓埋名让你在浏览时多了一层隐私:搜索查询不会被记住或绑定到你的谷歌个人资料。一旦关闭窗口,所有的cookies都将被丢弃。您的任何浏览历史都不会被保存。

如何备份谷歌浏览器的书签_谷歌浏览器怎么备份书签

如何备份谷歌浏览器的书签_谷歌浏览器怎么备份书签

如何备份谷歌浏览器的书签,总有一天会用得到的,来和小编一起学习吧

如何在谷歌Chrome中添加Tab悬停卡?

如何在谷歌Chrome中添加Tab悬停卡?

与Chrome和Firefox浏览器相比,微软Edge有许多漂亮的功能。其中一个功能是选项卡悬停卡,当您将鼠标悬停在非活动选项卡上时,它会显示选项卡内容的图像预览。这将有助于在您打开多个标签时快速检查网页。

谷歌浏览器右键复制被禁止了_ 下载插件一键解决

谷歌浏览器右键复制被禁止了_ 下载插件一键解决

你有没有在使用谷歌浏览器的时候遇到各种问题呢,你知道谷歌浏览器右键复制被禁止了是怎么回事呢?来了解谷歌浏览器右键复制被禁止了的解决方法,大家可以学习一下。

如何自定义 Google 搜索结果并添加额外功能?

如何自定义 Google 搜索结果并添加额外功能?

谷歌以其简洁的方式显示搜索结果而闻名。它曾多次尝试引入额外的功能(讨论按钮和即时预览,有人知道吗?),但它们最终总是被搁置一旁。但这并不意味着您不能同时更改 Google 搜索结果的外观和功能。您只需要前往 Chrome 网上应用店并下载一些扩展程序。