O sistema de extensões do Chrome aplica uma Política de Segurança de Conteúdo (CSP) padrão bastante rigorosa.
As restrições da política são diretas: o script precisa ser movido fora da linha para arquivos JavaScript separados,
os manipuladores de eventos inline precisam ser convertidos para usar o addEventListener e o eval() é
desativado. Os apps do Chrome têm uma política ainda mais rigorosa, e estamos muito satisfeitos com as propriedades de segurança que essas políticas oferecem.
No entanto, sabemos que várias bibliotecas usam construções semelhantes a eval() e eval, como
new Function(), para otimização do desempenho e facilidade de expressão. As bibliotecas de modelos são
especialmente propensas a esse estilo de implementação. Embora alguns frameworks (como o Angular.js) sejam compatíveis
com a CSP, muitos frameworks conhecidos ainda não foram atualizados para um mecanismo compatível com
o mundo sem eval das extensões. Portanto, a remoção do suporte para essa funcionalidade se mostrou mais problemático do que o esperado para os desenvolvedores.
Este documento mostra o uso do sandbox como um mecanismo seguro para incluir essas bibliotecas nos seus projetos sem comprometer a segurança. Para facilitar, usaremos o termo extensões, mas o conceito se aplica igualmente aos aplicativos.
Por que usar o sandbox?
eval é perigoso dentro de uma extensão porque o código que ele executa tem acesso a tudo no ambiente de alta permissão da extensão. Diversas APIs chrome.* eficientes estão disponíveis e poderiam
ter um impacto grave na segurança e na privacidade do usuário. A simples exfiltração de dados é a menor das nossas preocupações.
A solução oferecida é um sandbox em que eval pode executar código sem acesso aos
dados da extensão ou às APIs de alto valor dela. Sem dados, sem APIs, sem problemas.
Fazemos isso listando arquivos HTML específicos dentro do pacote de extensões como se estivessem em sandbox.
Sempre que uma página no modo sandbox é carregada, ela é movida para uma origem exclusiva e tem acesso negado
a APIs chrome.*. Se carregarmos essa página no modo sandbox na nossa extensão usando um iframe, poderemos
transmitir mensagens a ela, deixar que ela aja de acordo com essas mensagens de alguma forma e esperar que ela nos envie um
resultado. Esse mecanismo de mensagens simples oferece tudo o que precisamos para incluir com segurança um código orientado por eval no fluxo de trabalho da nossa extensão.
Criar e usar um sandbox.
Se você quiser ir direto ao código, use a extensão de exemplo de sandbox e decole. Ele é um exemplo funcional de uma pequena API de mensagens criada com base na biblioteca de modelos do Handlebars, e fornece tudo o que você precisa para começar. Para aqueles que gostariam de um pouco mais de explicação, vamos analisar essa amostra juntos aqui.
Listar arquivos no manifesto
Cada arquivo que precisa ser executado em um sandbox precisa ser listado no manifesto de extensão adicionando uma
propriedade sandbox. Essa é uma etapa crítica e fácil de esquecer. Por isso, confira se
o arquivo no modo sandbox está listado no manifesto. Neste exemplo, colocamos o arquivo no sandbox chamado de "sandbox.html". A entrada do manifesto tem esta aparência:
{
...,
"sandbox": {
"pages": ["sandbox.html"]
},
...
}
Carregar o arquivo no modo sandbox
Para fazer algo interessante com o arquivo no modo sandbox, precisamos carregá-lo em um contexto em que
ele possa ser resolvido pelo código da extensão. Aqui, sandbox.html foi carregado na Página de eventos da extensão (eventpage.html) por meio de um iframe. O arquivo eventpage.js contém um código que envia uma mensagem para o sandbox sempre que alguém clica na ação do navegador encontrando iframe na página e executando o método postMessage no contentWindow. A mensagem é um objeto
que contém duas propriedades: context e command. Vamos nos aprofundar nisso em breve.
chrome.browserAction.onClicked.addListener(function() {
var iframe = document.getElementById('theFrame');
var message = {
command: 'render',
context: {thing: 'world'}
};
iframe.contentWindow.postMessage(message, '*');
});
postMessage, consulte a documentação de postMessage no MDN . É bem completo e vale a pena ler. Em particular, os dados só podem ser transmitidos se forem serializáveis. As funções, por exemplo, não são.Fazer algo perigoso
Quando sandbox.html é carregado, ele carrega a biblioteca Handlebars, além de criar e compilar um modelo
in-line da maneira sugerida:
<script src="handlebars-1.0.0.beta.6.js"></script>
<script id="hello-world-template" type="text/x-handlebars-template">
<div class="entry">
<h1>Hello, !</h1>
</div>
</script>
<script>
var templates = [];
var source = document.getElementById('hello-world-template').innerHTML;
templates['hello'] = Handlebars.compile(source);
</script>
Isso não vai falhar. Mesmo que Handlebars.compile acabe usando new Function, tudo funciona
exatamente como esperado, e acabamos com um modelo compilado em templates['hello'].
Transmitir o resultado de volta
Disponibilizaremos esse modelo para uso configurando um listener de mensagens que aceite comandos da página "Evento". Vamos usar o command transmitido para determinar o que precisa ser feito.
Você poderia imaginar fazer mais do que simplesmente renderizar, talvez criando modelos? talvez gerenciá-los de alguma
maneira?), e o context será transmitido diretamente ao modelo para renderização. O HTML renderizado será retornado à página do evento para que a extensão possa fazer algo útil com ele mais tarde:
<script>
window.addEventListener('message', function(event) {
var command = event.data.command;
var name = event.data.name || 'hello';
switch(command) {
case 'render':
event.source.postMessage({
name: name,
html: templates[name](event.data.context)
}, event.origin);
break;
// case 'somethingElse':
// ...
}
});
</script>
De volta à página do evento, vamos receber essa mensagem e fazer algo interessante com os dados do html que recebemos. Nesse caso, faremos o echo usando uma Notificação na área de trabalho, mas
é possível usar esse HTML com segurança como parte da IU da extensão. A inserção dele usando
innerHTML não apresenta um risco de segurança significativo, já que mesmo um comprometimento completo do código no
sandbox com um ataque inteligente não seria capaz de injetar conteúdo de script ou plug-in perigoso no
contexto de extensão de alta permissão.
Esse mecanismo torna os modelos simples, mas não se limita a eles. Qualquer código que não funcione de acordo com uma Política de Segurança de Conteúdo estrita pode ser colocado no sandbox. Na verdade, muitas vezes é útil colocar no sandbox os componentes das suas extensões que seriam executados corretamente para restringir cada parte do programa ao menor conjunto de privilégios necessários para que ele seja executado corretamente. A apresentação Como criar apps da Web seguros e extensões do Chrome (em inglês) do Google I/O 2012 mostra alguns bons exemplos dessa técnica em ação e vale 56 minutos do seu tempo.