将本地文件系统中的文件夹添加到Chrome DevTools工作区时,您将收到一个对话框标题,警告您在授予访问权限之前“不公开任何敏感信息”.

这样做的具体风险是什么？工作区是否容易受到扩展的访问？脚本注入？

最佳答案
Official response –

“我们使用相同的api作为常规网站/ chrome应用程序,因此它不是devtools特有的.我认为理论上如果你将工作区地图映射到恶意网站,然后你用devtools打开网站可能是实时编辑你的网站能够检测到你的编辑吗？虽然这很复杂.

我们假设工作空间中的信息是项目的数据.我不会将/ etc / passwd添加到devtools工作区.“

从review开始 –

“如何撤销访问？如果我犯了错误,我可以删除.allow-devtools-edit文件.我没有看到使用新方法执行此操作的方法.

我不确定信息棒是否足够强大.有一类用户会点击这个,但永远不会愿意或精明到将.allow文件放到他们的机器上.“

以及 –

“这个消息应该更加可怕,谈论确保该目录中没有敏感信息.”

不多,但原来的issue用于上一个方法(将文件添加到文件夹以允许它映射也说 –

“DevTools需要文件系统访问权限,以允许开发人员编辑/添加源代码(甚至是那些未从服务器加载的源代码,例如部署描述符,服务器脚本).

我们计划使用File System API(隔离文件系统).
要向DevTools添加文件夹,用户需要
1.将空的.allow-devtools-edit文件添加到该文件夹​​中(出于安全目的)

我想因为Developer Tools扩展可能会读取你映射的文件,它可以暴露高度敏感的信息,比如可能在配置文件中找到的未加密的用户名和密码.