将本地文件系统中的文件夹添加到Chrome DevTools工作区时,您将收到一个对话框标题,警告您在授予访问权限之前“不公开任何敏感信息”。
这样做的具体风险是什么?工作区是否容易受到扩展的访问?脚本注入?
“我们使用相同的api作为常规网站/ chrome应用程序,因此它不是devtools特有的。我认为理论上如果你将工作区地图映射到恶意网站,然后你用devtools打开网站可能是实时编辑你的网站能够检测到你的编辑吗?虽然这很复杂。
我们假设工作空间中的信息是项目的数据。我不会将/ etc / passwd添加到devtools工作区。“
来自review -
“如何撤销访问?如果我犯了错误,我可以删除.allow-devtools-edit文件。我没有看到使用新方法执行此操作的方法。
我不确定信息棒是否足够强大。有一类用户会点击这个,但永远不会愿意或精明到将.allow文件放到他们的机器上。“
以及 -
“这个消息应该更加可怕,谈论确保该目录中没有敏感信息。”
不多,但原来的issue为前一个方法(添加文件到文件夹允许它映射也说 -
“DevTools需要文件系统访问权限,以允许开发人员编辑/添加源代码(甚至是那些未从服务器加载的源代码,例如部署描述符,服务器脚本)。
我们计划使用File System API(隔离文件系统)。要向DevTools添加文件夹,用户需要1.将空的.allow-devtools-edit文件添加到该文件夹中(出于安全目的)
我想因为Developer Tools扩展可能会读取你映射的文件,它可以暴露高度敏感的信息,比如可能在配置文件中找到的未加密的用户名和密码。