Scratch.canFetch()がsandbox環境だとtrueを返す

Question

Scratch.canFetch()がsandbox環境だとtrueを返す

arch-herobrine opened this issue a year ago · comments

arch.msi commented a year ago

再現方法
これで外部サイトをfetchしようとする

arch.msi · Answer 1 · Sat Aug 05 2023 19:01:17 GMT+0800 (China Standard Time)

(日本語ですいません)

Takuma Tateishi · Answer 2 · Mon Feb 05 2024 08:43:10 GMT+0800 (China Standard Time)

こんにちは、このバグについて詳しく教えていただけますか？英語に翻訳します。

arch.msi · Answer 3 · Mon Feb 05 2024 11:01:54 GMT+0800 (China Standard Time)

えーっと
サンドボックス化を無効化すると
なぜか普通にfetchが通ってしまうんですよね
なので「fetchを許可しますか」的なポップアップなしでそのまま外部と通信できてしまうっていう

Muffin · Answer 4 · Mon Feb 05 2024 11:02:12 GMT+0800 (China Standard Time)

It's not enforced in the 'sandbox' because you can bypass it by simply using window.fetch

canFetch requires trust that the extension won't do that. If an extension runs in the sandbox then it is not trusted.

arch.msi · Answer 5 · Mon Feb 05 2024 11:03:14 GMT+0800 (China Standard Time)

タイトルミスってたっぽいかな
けっこう前に開いたissueだから覚えてないや

It's not enforced in the 'sandbox' because you can bypass it by simply using window.fetch

canFetch requires trust that the extension won't do that. If an extension runs in the sandbox then it is not trusted.

arch.msi · Answer 6 · Mon Feb 05 2024 11:06:05 GMT+0800 (China Standard Time)

ミスってはいなかったわ