![在包含敏感数据的网页上使用不受信任的书签小程序是否安全?](https://linux22.com/image/1306569/%E5%9C%A8%E5%8C%85%E5%90%AB%E6%95%8F%E6%84%9F%E6%95%B0%E6%8D%AE%E7%9A%84%E7%BD%91%E9%A1%B5%E4%B8%8A%E4%BD%BF%E7%94%A8%E4%B8%8D%E5%8F%97%E4%BF%A1%E4%BB%BB%E7%9A%84%E4%B9%A6%E7%AD%BE%E5%B0%8F%E7%A8%8B%E5%BA%8F%E6%98%AF%E5%90%A6%E5%AE%89%E5%85%A8%EF%BC%9F.png)
使用不受信任的书签小工具在包含敏感数据的网页上,例如网上银行页面?特别是,书签小工具能否将数据发送到任何地方或在页面上执行某些操作(例如跟踪链接)?
答案1
在包含敏感数据的网页(例如网上银行页面)上使用不受信任的书签是否安全?
不。
具体来说,小书签可以将数据发送到任何地方或在页面上执行某些操作(例如跟踪链接)吗?
是的。
书签小程序运行一些 JavaScript就像页面作者将其包含在页面上一样(具有所暗示的所有权限)。
答案2
不,这不安全。
小书签可以看到页面上的所有内容,读取其 cookie 和本地存储,并与页面来源的服务器进行交互(我甚至认为其他服务器也可以,因为跨域沙盒可能不适用于小书签)。