Requestly浏览器扩展中的不安全来源检查问题分析
2025-06-24 17:48:46作者:吴年前Myrtle
问题概述
Requestly是一款拥有超过20万用户的流行Chrome扩展程序,主要用于开发者调试和测试工作。该扩展允许用户拦截、修改和重定向网络请求,支持修改HTTP头、重定向URL、执行自定义脚本等功能。然而,近期发现该扩展存在一个需要注意的安全问题,可能被利用在受害者访问的某些网站上执行特定JavaScript代码。
问题技术细节
问题位置
问题存在于Requestly扩展的app.cs.js文件中,该文件仅在访问app.requestly.io或app.requestly.com网站时加载执行。
问题成因
扩展在处理跨域消息时,使用了不够严谨的来源检查机制。具体表现为:
- 使用isAppURL函数检查event.origin
- isAppURL函数通过简单的字符串包含(includes)方法来验证来源域名
这种检查方式可能存在被绕过的风险,例如:
- https://app.requestly.io.example.com
- https://app.requestly.com.example.com
问题影响
一旦受害者访问特定构造的网页,可能被利用:
- 配置受害者Requestly扩展中的规则
- 导致特定JavaScript代码在受害者访问的某些网站上执行
- 影响受害者的浏览会话
利用原理分析
利用流程
- 受害者访问特定构造的网页
- 该网页通过window.open打开Requestly相关页面
- 通过postMessage向打开的页面发送特定消息
- 由于不够严谨的来源检查,消息可能被Requestly接受
- 特定规则被保存到受害者的扩展中
- 规则生效后,特定脚本可能在受害者访问的网站上执行
技术实现
特定构造的消息可能包含设计的规则配置,其中:
- 修改了内容安全策略(CSP)头部
- 设置了在特定URL匹配的页面上执行JavaScript代码
- 规则被设置为活动状态立即生效
解决方案
临时解决方案
- 暂时停用Requestly扩展
- 检查并移除异常的扩展规则
官方更新
Requestly团队在v25.4.15版本中解决了此问题,改进措施包括:
- 使用更严格的验证机制
- 添加了Cross-Origin-Opener-Policy: same-origin-allow-popups头部
- 增强了消息来源验证逻辑
安全建议
对于浏览器扩展开发者:
- 始终使用严格的验证机制检查跨域消息来源
- 避免使用简单的字符串包含方法验证域名
- 实施最小权限原则,限制扩展的功能范围
- 定期进行代码审查
对于普通用户:
- 及时更新所有浏览器扩展
- 仅从官方商店安装扩展
- 定期检查扩展权限和配置
- 对不明来源的网页保持警惕
总结
此问题再次提醒我们浏览器扩展安全的重要性。作为拥有较高权限的浏览器组件,扩展程序必须实施严格的安全措施。Requestly团队快速响应并解决问题的做法值得肯定,用户应尽快更新到最新版本以确保安全。
登录后查看全文
热门项目推荐
HunyuanImage-3.0
HunyuanImage-3.0 统一多模态理解与生成,基于自回归框架,实现文本生成图像,性能媲美或超越领先闭源模型00ops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。C++043Hunyuan3D-Part
腾讯混元3D-Part00GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0287Hunyuan3D-Omni
腾讯混元3D-Omni:3D版ControlNet突破多模态控制,实现高精度3D资产生成00Spark-Chemistry-X1-13B
科大讯飞星火化学-X1-13B (iFLYTEK Spark Chemistry-X1-13B) 是一款专为化学领域优化的大语言模型。它由星火-X1 (Spark-X1) 基础模型微调而来,在化学知识问答、分子性质预测、化学名称转换和科学推理方面展现出强大的能力,同时保持了强大的通用语言理解与生成能力。Python00GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile09
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
项目优选
收起

deepin linux kernel
C
22
6

OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
161
2.05 K

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0

React Native鸿蒙化仓库
C++
198
279

本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
535
62

Ascend Extension for PyTorch
Python
51
81

🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
950
556

旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1 K
397

本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
385
19

openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191