首页
/ Requestly浏览器扩展中的不安全来源检查问题分析

Requestly浏览器扩展中的不安全来源检查问题分析

2025-06-24 17:48:46作者:吴年前Myrtle

问题概述

Requestly是一款拥有超过20万用户的流行Chrome扩展程序,主要用于开发者调试和测试工作。该扩展允许用户拦截、修改和重定向网络请求,支持修改HTTP头、重定向URL、执行自定义脚本等功能。然而,近期发现该扩展存在一个需要注意的安全问题,可能被利用在受害者访问的某些网站上执行特定JavaScript代码。

问题技术细节

问题位置

问题存在于Requestly扩展的app.cs.js文件中,该文件仅在访问app.requestly.io或app.requestly.com网站时加载执行。

问题成因

扩展在处理跨域消息时,使用了不够严谨的来源检查机制。具体表现为:

  1. 使用isAppURL函数检查event.origin
  2. isAppURL函数通过简单的字符串包含(includes)方法来验证来源域名

这种检查方式可能存在被绕过的风险,例如:

  • https://app.requestly.io.example.com
  • https://app.requestly.com.example.com

问题影响

一旦受害者访问特定构造的网页,可能被利用:

  1. 配置受害者Requestly扩展中的规则
  2. 导致特定JavaScript代码在受害者访问的某些网站上执行
  3. 影响受害者的浏览会话

利用原理分析

利用流程

  1. 受害者访问特定构造的网页
  2. 该网页通过window.open打开Requestly相关页面
  3. 通过postMessage向打开的页面发送特定消息
  4. 由于不够严谨的来源检查,消息可能被Requestly接受
  5. 特定规则被保存到受害者的扩展中
  6. 规则生效后,特定脚本可能在受害者访问的网站上执行

技术实现

特定构造的消息可能包含设计的规则配置,其中:

  • 修改了内容安全策略(CSP)头部
  • 设置了在特定URL匹配的页面上执行JavaScript代码
  • 规则被设置为活动状态立即生效

解决方案

临时解决方案

  1. 暂时停用Requestly扩展
  2. 检查并移除异常的扩展规则

官方更新

Requestly团队在v25.4.15版本中解决了此问题,改进措施包括:

  1. 使用更严格的验证机制
  2. 添加了Cross-Origin-Opener-Policy: same-origin-allow-popups头部
  3. 增强了消息来源验证逻辑

安全建议

对于浏览器扩展开发者:

  1. 始终使用严格的验证机制检查跨域消息来源
  2. 避免使用简单的字符串包含方法验证域名
  3. 实施最小权限原则,限制扩展的功能范围
  4. 定期进行代码审查

对于普通用户:

  1. 及时更新所有浏览器扩展
  2. 仅从官方商店安装扩展
  3. 定期检查扩展权限和配置
  4. 对不明来源的网页保持警惕

总结

此问题再次提醒我们浏览器扩展安全的重要性。作为拥有较高权限的浏览器组件,扩展程序必须实施严格的安全措施。Requestly团队快速响应并解决问题的做法值得肯定,用户应尽快更新到最新版本以确保安全。

登录后查看全文
热门项目推荐