Белый список политики CORS для расширения браузера?

Question

У меня есть расширение браузера, которое отправляет на сервер. Я хочу добавить в белый список источник расширения на моем сервере. Например, запросы на расширение Chrome исходят из местоположения, например: chrome-extension://fjhbdidbplpijoncnlfoadfadfasdf и из Firefox, например: moz-extension://cadf4351-e4f3-ca4d-b974-812309843dafd

. Я понимаю, что могу внести эти конкретные адреса в белый список на моем сервере, но я Я не уверен, что они являются c адресами. Меняются ли эти случайно сгенерированные местоположения, например, когда я отправляю обновление? Есть ли вообще установить их постоянно?

Answer 1

Они меняются?

Ситуация отличается для Chrome и Firefox.

Chrome

Для выпущенных расширений , которые являются в интернет-магазине идентификатор фиксируется. Вы можете положиться на него.

Для распакованных расширений в разработке , идентификатор определяется либо значением "key" в манифесте, если таковое имеется, либо абсолютный путь к папке расширения. Так что это может измениться, если вы переместите расширение. Но вы можете "закрепить" его , указав действительный "key".

Firefox

То, что вы видите в Mozilla, является источником, определяемым установкой c. , Независимо от того, какой ID у расширения, UUID, который вы видите здесь, будет отличаться при каждой установке расширения (но должен сохраняться в обновлениях).

В этой ошибке . Есть некоторое обсуждение механизма .

По сути, это техника, предотвращающая расширение.

Это означает, что вы не можете внести в белый список только один источник и покончить с ним, к сожалению.

Это хорошая идея, чтобы положиться на это?

Наверное, нет. В то время как браузеры, как правило, достоверно сообщают об Origin, другие инструменты, способные генерировать запросы, не следуют этому. Так что было бы относительно легко подделать.