Chrome 的插件有没有权限一说？是否可以随意作恶?

是

这种事情 肯定有防范，看下 chrome 插件的官方文档就知道了

是
用户举报

@napsterwu “是”的意思是目前插件的确可以随意作恶？仅凭开发者自觉？

@summerwar 简单看过一下，似乎这方面 Google 特别宽松，比如插件可以随意热更新之类，并没有看到在技术上给插件权限或者沙盒进行限制，也就是目前目前任何插件只要开发者愿意可以随意作恶。

完全可以，安装时会有权限申请，像安卓一样。
用户同意 google 就免责了。

不是，有作用域的权限，在安装插件的时候有提示的，虽然很多插件直接要的是全部网站的权限。

基本上靠开发者自律，例如京价宝（ jjb.im ）就只要了京东相关业务域名的权限，这个其实有个很麻烦的问题，增加或者修改域名后，插件更新之后会被 chrome 自动禁用。

当年 chr 的市场被称为“菜市场”，审批随意，跳转乱飞。css 包一包都能升格成扩展可以想见市场之乱。
相对于菜市场，ffox 的市场严格规整很多。

可以的，有时候开发方便直接要的全部权限

https://www.cnbeta.com/articles/soft/691335.htm

前段时间不是有条新闻吗，插件可以阻止用户卸载自己。

你说的这种情况在本质上 Chrome 是会隔离。但是实际中这种隔离并不是百分百让人满意的。

Chrome 对插件的权限管控是基于插件中 manifest.json 中的 permissions 字段实现的，例如:如果插件需要操作与 A 站相关的内容(脚本注入,AJAX 访问等)则至少需要在 permissions 中标注 "*://av__e.com/*". 如果插件需要管理 Chrome 的 Tab 标签相关的功能，则也需要在 permissions 中标注"tabs".

但是, 由于实际业务逻辑涉及到的网站比较多或者是开发者想要滥用权利, 则上述的 A 站相关内容插件的开发者可以将上述`*://av__e.com/*`改成"*://*/*" 来获得所有网站的权限.

扯远了，简单说一下我个人装第三方插件的基本审查吧:

0. 这个插件是否开源, 开源且代码比较少就简单翻阅一下, 如果不开源的先扣点影响分
1. 这个插件请求的权限是否让我满意(你能在点击"添加"后弹出的提示框中看到"改程序可以: xxxx"的描述，或者是在"chrome://extension"中点击详细信息查看)
2. 安装用户数量和用户普遍评论

举报功能不是随便写的。

鼠标手势插件偷偷上传浏览 url

目前完全凭开发者自觉。大部分扩展使用的权限写在 manifest 的 permissions 里，安装时如果不接受就不能安装，一旦安装了就有声明的全部权限。Google 为开发者提供了完善的权限申请机制，比如有 optional permission，安装时不赋予相关权限，当需要时向用户申请，但是用户可以拒绝。如果 Chrome Web Market 能够像 App Store 那样严格审核就好了。

人生下來是不是要綁住手腳才能防止作惡？