如何在所有 Chrome 扩展中搜索危险的 unsafe-eval?
在本指南中,我将向您展示如何在所有已安装的 Chrome 扩展程序中搜索危险的 unsafe-eval 内容安全策略。该方法也适用于安装在其他浏览器中的扩展,前提是扩展文件可以纯文本格式读取。
上周,围绕记录和出售用户浏览数据的一些扩展程序的新丑闻成为新闻。这次有超过 400 万个浏览器安装受到影响,这只是围绕阴暗浏览器扩展的一系列隐私相关问题中的最新一个。
有问题的扩展使用了一个有据可查的名为 unsafe-eval 的内容安全策略指令来下载远程有效负载并开始收集和传输浏览数据。
Chrome 扩展需要在扩展清单中声明 unsafe-eval 才能使用它。Chrome 网上商店不会突出显示用途,并且扩展程序在开发人员上传到商店时是干净的。

uBlock Origin 的开发者 Raymond Hill描述了围绕这些恶意扩展程序的问题,这些扩展程序在安装后通过以下方式将有效负载下载到用户系统:
为了使扩展能够在自己的上下文中执行远程代码,他们需要在 manifest.json 中显式声明“unsafe-eval”。
换句话说:这些扩展声明了 unsafe-eval 以便他们可以在以后的时间点下载有效载荷。
Hill 建议用户避免使用任何声明 unsafe-eval 的扩展;然而,这要求用户在点击“添加到 Chrome”按钮之前检查扩展的清单文件。
我们在 2015 年发布了Chrome 扩展程序验证指南,这是在安装之前验证任何 Chrome 网上应用店扩展程序的好资源。
这是一个简短的概述,因为您可能不想阅读整个长指南。
1、下载Chrome 扩展源查看器扩展。
2、打开要检查的扩展程序的配置文件页面。
3、单击 Chrome Extension Source Viewer 扩展的 CRX 图标,然后选择“查看源”。
4、选择 manifest.json 文件并检查 unsafe-eval,例如使用 F3 打开页面搜索。
安装的扩展怎么样?
虽然您可以打开每个已安装扩展的 manifest.json 文件以查看是否有任何使用了 unsafe-eval 声明,但您也可以一次搜索所有扩展以加快该过程。
这是如何完成的:
1、将出色的工具 Everything 下载到您的系统中。您也可以使用其他支持搜索文件内容的文本编辑器,例如UltraSearch或Notepad++。
2、通过右键单击该程序并选择“以管理员身份运行”来启动该程序。
3、选择搜索 > 高级搜索。
4、在“文件中的单词或短语”字段中键入 unsafe-eval。
5、选择 c: 驱动器(或系统上的同等驱动器),或立即选择扩展目录。
a、要查找路径,请在地址栏中加载 chrome://version/。
b、复制配置文件路径值,例如 C:\Users\Martin\AppData\Local\Google\Chrome\User Data\Profile 1
c、将其粘贴到“位于”字段中。
6、确保选择了“包括子文件夹”。
7、点击确定。
Everything 在整个文件夹结构和所有文件中搜索所选短语。关注 manifest.json 文件并双击它们以在默认文本编辑器中打开它们。使用内置搜索来搜索 unsafe-eval 以验证结果。
相同的方法应该适用于大多数其他浏览器。
Chrome浏览器教育场景插件组合操作经验与技巧教程分享
Chrome浏览器教育场景插件组合操作经验与技巧教程,分享了常见实用方法,帮助教师和学生提升学习体验。
Chrome浏览器安卓端功能增强版下载流程教程
Chrome浏览器安卓端功能增强版增加多项实用工具和优化功能。用户可以体验更全面的浏览器功能,提高操作效率和移动端使用体验。
Google Chrome插件后台进程异常检测方案分享
Google Chrome插件后台进程异常检测方案分享,助力开发者监控后台状态,快速发现并处理异常,确保插件稳定。
Chrome浏览器下载后如何配置插件自动更新功能
配置Chrome浏览器的插件自动更新功能,确保插件始终保持最新版本,避免安全风险。
chrome浏览器插件页面显示异常问题复盘
对chrome浏览器插件页面显示异常问题进行复盘,分析问题原因,提供解决方案,提升页面稳定性。
如何在Google Chrome中优化CSS文件加载顺序
优化CSS文件加载顺序能够提升网页的加载速度。确保关键CSS文件先行加载,减少页面渲染时的阻塞,提升用户体验。
如何下载谷歌浏览器安卓正式版?<下载方法>
谷歌浏览器 Google Chrome完全免费,跨平台支持 Windows、Mac 和 Linux 桌面系统,同时也有 iOS、Android 的手机版 平板版,你几乎可以在任何智能设备上使用到它。
怎么安装谷歌浏览器离线包_谷歌浏览器安装方法
你有没有想要知道的谷歌浏览器安装技巧呢,你知道谷歌浏览器要怎么安装离线包吗?来了解谷歌浏览器离线包安装的具体步骤,大家可以学习一下。
如何下载google浏览器最新版?
如何下载google浏览器最新版?谷歌浏览器 Google Chrome完全免费,跨平台支持 Windows、Mac 和 Linux 桌面系统。
更新chrome后提示Adobe Flash Player因过期而遭到阻止怎么解决?
最近很多用户更新Chrome谷歌浏览器,打开网页后出现“Adobe Flash Player因过期被阻止”的错误信息。
Google Chrome for mac安装教程及功能介绍!
谷歌Chrome是谷歌开发的一款简单高效的网络浏览工具。谷歌Chrome浏览器可以帮助你快速安全的搜索到你需要的内容,功能非常强大。
什么是谷歌网络浏览器
什么是谷歌网络浏览器?Google Chrome,是一个由Google公司开发的网页浏览器。
谷歌浏览器如何设置安全锁屏功能
谷歌浏览器如何设置安全锁屏功能?谷歌浏览器虽然没有内置锁屏功能,但我们也可以通过某些方法达到类似效果。
Chrome浏览器怎么打开声音权限
Chrome浏览器怎么打开声音权限?接下来小编就给大家带来Chrome浏览器打开声音权限具体操作步骤,有需要的朋友赶紧来本站看看了解一下吧。
谷歌浏览器好用插件推荐-谷歌浏览器热门插件
谷歌浏览器好用的插件数不胜数,小编帮您竞选了5款最为优秀的插件,快来一起看看吧!
谷歌浏览器如何离线安装插件<详细教程>
相信很多人经常遇到进不去谷歌商店的问题,安装不了自己想要的插件,这里小编教给大家不用进谷歌商店也可以安装插件的方法。
如何将自定义过滤器添加到 Chrome 广告拦截扩展 µBlock?
几个月前,我在 Ghacks 上查看了Chrome 扩展程序Block ,我非常喜欢它,因为它提供了与其他扩展程序相同级别的广告和干扰拦截,但占用空间更小。
谷歌浏览器怎么把网页保存为pdf
谷歌浏览器怎么把网页保存为pdf?接下来小编就给大家带来谷歌浏览器将网页保存为pdf方法教程,有需要的朋友赶紧来看看了解一下吧。