Requestly浏览器扩展中的不安全来源检查问题分析

问题概述

Requestly是一款拥有超过20万用户的流行Chrome扩展程序，主要用于开发者调试和测试工作。该扩展允许用户拦截、修改和重定向网络请求，支持修改HTTP头、重定向URL、执行自定义脚本等功能。然而，近期发现该扩展存在一个需要注意的安全问题，可能被利用在受害者访问的某些网站上执行特定JavaScript代码。

问题技术细节

问题位置

问题存在于Requestly扩展的app.cs.js文件中，该文件仅在访问app.requestly.io或app.requestly.com网站时加载执行。

问题成因

扩展在处理跨域消息时，使用了不够严谨的来源检查机制。具体表现为：

1. 使用isAppURL函数检查event.origin
2. isAppURL函数通过简单的字符串包含(includes)方法来验证来源域名

这种检查方式可能存在被绕过的风险，例如：

• https://app.requestly.io.example.com
• https://app.requestly.com.example.com

问题影响

一旦受害者访问特定构造的网页，可能被利用：

1. 配置受害者Requestly扩展中的规则
2. 导致特定JavaScript代码在受害者访问的某些网站上执行
3. 影响受害者的浏览会话

利用原理分析

利用流程

1. 受害者访问特定构造的网页
2. 该网页通过window.open打开Requestly相关页面
3. 通过postMessage向打开的页面发送特定消息
4. 由于不够严谨的来源检查，消息可能被Requestly接受
5. 特定规则被保存到受害者的扩展中
6. 规则生效后，特定脚本可能在受害者访问的网站上执行

技术实现

特定构造的消息可能包含设计的规则配置，其中：

• 修改了内容安全策略(CSP)头部
• 设置了在特定URL匹配的页面上执行JavaScript代码
• 规则被设置为活动状态立即生效

解决方案

临时解决方案

1. 暂时停用Requestly扩展
2. 检查并移除异常的扩展规则

官方更新

Requestly团队在v25.4.15版本中解决了此问题，改进措施包括：

1. 使用更严格的验证机制
2. 添加了Cross-Origin-Opener-Policy: same-origin-allow-popups头部
3. 增强了消息来源验证逻辑

安全建议

对于浏览器扩展开发者：

1. 始终使用严格的验证机制检查跨域消息来源
2. 避免使用简单的字符串包含方法验证域名
3. 实施最小权限原则，限制扩展的功能范围
4. 定期进行代码审查

对于普通用户：

1. 及时更新所有浏览器扩展
2. 仅从官方商店安装扩展
3. 定期检查扩展权限和配置
4. 对不明来源的网页保持警惕

总结

此问题再次提醒我们浏览器扩展安全的重要性。作为拥有较高权限的浏览器组件，扩展程序必须实施严格的安全措施。Requestly团队快速响应并解决问题的做法值得肯定，用户应尽快更新到最新版本以确保安全。