使用不受信任的书签小工具在包含敏感数据的网页上,例如网上银行页面?特别是,书签小工具能否将数据发送到任何地方或在页面上执行某些操作(例如跟踪链接)?
答案1
在包含敏感数据的网页(例如网上银行页面)上使用不受信任的书签是否安全?
不。
具体来说,小书签可以将数据发送到任何地方或在页面上执行某些操作(例如跟踪链接)吗?
是的。
书签小程序运行一些 JavaScript就像页面作者将其包含在页面上一样(具有所暗示的所有权限)。
答案2
不,这不安全。
小书签可以看到页面上的所有内容,读取其 cookie 和本地存储,并与页面来源的服务器进行交互(我甚至认为其他服务器也可以,因为跨域沙盒可能不适用于小书签)。