[Bug]: Chromium系浏览器利用content请求数据时,潜在的多账号数据混乱问题 #204
Description
Pre-submission Checklist / 提交前检查清单
- I have searched existing issues to ensure this is not a duplicate / 我已检索现有 issue 确认这不是重复问题
- I have tested with the latest release version or main branch / 我已使用最新 release 版本或 main 分支的最新版测试
- This bug still exists in the latest version / 该 bug 在最新版本中仍然存在
Browser / 浏览器
Edge
Browser Version / 浏览器版本
All
Extension Version / 扩展版本
All
Bug Description / Bug 描述
在content请求过盾机制中,如果用户在站点登录,则cookie会携带了用户的session,而New API是先解析session部分,才会解析accesstoken的,这意味着当前登录用户会是实际的认证用户,而非accesstoken认证方式时的,accesstoken对应的用户身份。
但因为需要过盾,所以cookie是必要的无法不携带,如cf_clearance用于直接通过Cloudflare盾进行数据请求
Steps to Reproduce / 复现步骤
- 站点需存在防火墙阻止直接的网络请求,如Cloudflare 无感盾
- 某站点使用A账号登录,保持cookie的登录状态
- 刷新某站点Accesstoken认证方式的B账号的数据
Expected Behavior / 预期行为
得到的数据还是账号B的
Actual Behavior / 实际行为
得到的数据会是账号A的
Screenshots / 截图
No response
Additional Context / 其他信息
- 应该扩大权限使用 feat(firefox): implement WebRequest-based cookie injection mechanism #201 类似的方案进行解决
- 如支持动态权限申请,则以直接关闭此功能或现行多账号存在异常的作为无权限回退方案