Может ли содержимое внутри изолированного iframe читаться / шпионить браузером
расширения?
Да
Могу ли я использовать iframe для защиты учетных данных пользователя?
Быстрый ответ, нет.
Когда пользователь устанавливает расширение Chrome, расширение может делать практически все на веб-сайте для доступа к учетным данным пользователя. Расширение также имеет доступ к фреймам, которые генерирует страница.
Мои предлагаемые решения для преодоления этих двух проблем и обеспечения безопасности веб-сайта следующие:
Если конечной целью является защита контента, который ваш пользователь будет размещать на веб-сайте, и вы ни в коем случае не хотите, чтобы пользователь размещал контент, если на странице работают другие виды расширений, то вы можете добавить какое-то всплывающее окно на странице, блокирующее доступ пользователю до тех пор, пока он не получит доступ к сайту без расширений.
Еще одно решение, которое вы могли бы предложить пользователю, - это перейти в режим инкогнито, так как существует множество опций, позволяющих запретить расширения в режиме инкогнито, не заставляя его удалять все расширения, которые он имеет в своем браузере. Это также может привести к тому, что меньше пользователей покинут вашу страницу, так как если вы заставите его удалить расширения в своем браузере, это может заставить его покинуть вашу страницу, если это не будет достаточно ясной причиной для него.
Если вы знаете, какие расширения не следует блокировать или предотвращать из-за того, что они вредны или, как известно, имеют какое-то неадекватное поведение, вы можете проверить, установлены ли у пользователя их с этим решением Проверка, установлено ли у пользователя определенное расширение , а затем напечатайте ему сообщение о том, что он не сможет продолжить, пока не удалит эти расширения.