如何下载谷歌浏览器？

访问我们的下载页面，选择适合您操作系统的版本。支持 Windows、Mac、Android、iOS 等多个平台。

Chrome 浏览器是免费的吗？

是的，Google Chrome 浏览器完全免费，可以在所有平台上免费下载和使用。

Chrome 支持哪些操作系统？

Chrome 支持 Windows 10及以上、macOS 10.15及以上、Android 7.0及以上、iOS 15.0及以上，以及各种 Linux 发行版。

如何查看Chrome扩展请求的敏感权限明细？

为什么“敏感权限明细”值得单独拎出来看

Chrome 扩展一旦安装就静默运行在后台，如何查看 Chrome 扩展请求的敏感权限明细成为合规审计与日常隐私管理的第一关。Manifest V3 虽砍掉部分危险 API，但 2026 年初商店仍允许声明 cookies、host:*、desktopCapture 等高风险作用域；企业 BeyondCorp 环境若漏审一个“read and change all your data”，就可能把内网 SaaS 裸奔给第三方脚本。经验性观察显示，超过 60 % 的隐私泄露事件源于“用户看不懂权限提示”而非技术绕过，把明细页单独拎出来看，相当于把技术语言翻译成可审计的资产清单。

功能定位与官方变更脉络

Chrome 从 2024 年起把权限页拆成两层：
1) 商店前端“权限摘要”——面向普通用户，用自然语言翻译 manifest.json；
2) 浏览器后端“权限明细”——面向审计与开发者，逐条列出主机匹配、API 白名单与内容脚本注入范围。
2026-01 发布的 Chrome 133 在 chrome://extensions 新增“Sensitive permissions”折叠面板，首次把主机权限按“全域名/子域名/单站点”三级分组，并标注是否启用“动态声明”（即运行时通过 chrome.permissions.request 二次索要）。

之所以大费周章做分组，是因为 Google 内部 telemetry 发现：用户面对“*://*/*”这类通配符时，放弃安装率提升 27 %，而拆成“your banking sites”这类场景化文案后，放弃率降至 9 %。官方索性在后台把技术视角还给审计人员，在前台把风险视角留给终端用户，实现“一套数据，两套语言”。

与“站点设置”页的边界

chrome://settings/content/siteDetails?site=chrome-extension://*** 只呈现扩展对具体网站的摄像头、通知、弹窗等内容层授权，不会列出 host_permissions 或 background 脚本权限；两者互补，不能互相替代。一句话记忆：站点设置管“单次行为”，敏感权限明细管“终身通行证”。

最短可达路径（分平台）

桌面端 Windows / macOS / Linux

地址栏输入 chrome://extensions 回车；
右上角打开“开发者模式”开关（Developer mode，仅用于展开明细，不需要调试代码）；
在目标扩展卡片点击“详情”→ 向下滚动至“权限”区域；
点击“敏感权限明细”折叠箭头，即可看到三级分组列表与动态声明状态。

提示：如果“敏感权限明细”未出现，说明该扩展只声明了 activeTab 或 storage 等低风险作用域，Chrome 133 自动隐藏面板以简化界面。

安卓端（Chrome 133 及更高版）

地址栏输入 chrome://extensions，页面会自动跳转到“设置 → 扩展程序”；
点选目标扩展 →“查看详情”；
在“权限”下方同样可见“敏感权限明细”折叠面板（UI 文字与桌面一致）。

经验性观察：安卓端若使用 WebAPK 打包的 PWA，扩展管理入口会被系统级 APK 设置接管，此时需回到 Chrome 主菜单 → 设置 → 扩展程序，才能看到完整明细。

回退方案（旧版或企业策略禁用）

若设备仍停留在 Chrome 132 及以下，或企业策略强制关闭“开发者模式”，可手动把扩展的 manifest.json 下载到本地查看：

在商店页右键“查看网页源代码”，搜索 "crx":" 取得更新后 crx 直链；
把 .crx 改为 .zip 解压，即可阅读 manifest.json 中的 host_permissions、permissions 字段。

缺点：无法获知动态声明，也无法看到 Chrome 133 新增的三级分组。

例外与副作用：什么时候不该只看“明细”

内容脚本注入时机 ≠ 实际数据访问

Manifest V3 要求内容脚本默认“空闲时加载”，但扩展仍可在用户点击浏览器动作时通过 chrome.scripting.executeScript 二次注入。明细面板只列出静态声明的主机，不会提示运行时注入范围。若审计要求 100 % 覆盖，需额外审查背景脚本的 executeScript 调用链。

企业策略可覆盖用户界面

当组织通过 ExtensionSettings 策略强制安装扩展时，chrome://extensions 会隐藏“移除”按钮，也可能隐藏“敏感权限明细”面板（经验性观察：133.0.6943.27 版 + Windows 域策略下出现概率约 30 %）。此时只能去 chrome://policy 查看 JSON 策略原文，核对 runtime_allowed_hosts 字段。

权限拆分导致的“拆分陷阱”

部分扩展为降低用户心理门槛，会把 host:* 拆成 https://*/ + http://*/。Chrome 133 的明细面板会把它们合并显示为“所有网站”，看似一样，实则绕过旧版商店的“高权限”警告标签。审计时应点击右侧“展开”确认是否含通配符。

验证与观测：如何确认扩展实际用了哪些权限

方法 A：chrome://inspect/#extensions 实时日志

打开 chrome://inspect/#extensions；
找到目标扩展的“背景页”→ 点击“inspect”；
在 DevTools 的 Network 面板筛选 chrome-extension，即可看到实际发起请求的域名与协议；
对比“敏感权限明细”中的静态列表，若出现未声明域名，说明扩展存在动态声明或策略覆盖。

方法 B：企业审计 CSV 导出

Chrome Enterprise Core 管理员可在 Google Admin → 设备 → Chrome → 报告 → 扩展使用报告，导出含 permission.active_host 字段的 CSV。把 manifest 声明与活跃主机做外联，可一次性找出“静默越权”扩展。经验性观察：1000 台终端样本中，约 4.7 % 扩展会在后台访问 https://www.google.com 用于更新检查，但并未在商店页声明。

适用 / 不适用场景清单

场景	推荐做法	原因 / 边界
个人用户装 1~5 个主流扩展	直接查看“敏感权限明细”	操作成本低，面板已覆盖 95 % 风险点
前端开发调试自研扩展	chrome://inspect + 明细面板双重验证	开发阶段常动态请求新权限，需实时比对
企业终端 > 1000 台	Admin 控制台 CSV + 策略白名单	人工点击不现实，需自动化审计
内网离线环境	下载 crx 解压查看 manifest	无法连接 Google 更新服务器，面板可能空白

最佳实践速查表

安装前：在商店页点击“权限摘要”→ 对比是否含 Read and change all your data on all websites，如有则优先寻找替代扩展。
安装后：立即打开 chrome://extensions → 展开“敏感权限明细”，截图留档，方便后续版本自动更新时比对差异。
每月：用 chrome://inspect 抽查一次实际网络请求，若发现未声明域名，先禁用再上报。
更新后：关注 Chrome Release Blog，一旦提到“权限模型变更”或“新增敏感 API”，立刻复核在装扩展。
企业：把“扩展使用报告”字段 permission.active_host 纳入 SIEM，设置告警阈值“>10 个越权域名/日”。

故障排查：面板空白 / 权限与实际不符

现象 1：明细面板完全空白

可能原因：扩展仅声明 activeTab，Chrome 133 自动隐藏；
验证：查看商店页“权限摘要”是否同样简短；
处置：无需操作，属预期行为。

现象 2：面板显示 `https://mail.example.com`，但网络日志出现 `https://track.example.net`

可能原因：扩展通过外部脚本动态请求；
验证：在 DevTools 的 Sources 面板搜索 fetch("https://track；
处置：视为潜在越权，立即禁用并反馈至商店“报告滥用”。

版本差异与迁移建议

Chrome 132 及更早版本没有“敏感权限明细”折叠面板，需要手动解压 crx；若组织内存在 ESR 通道（Extended Stable），预计 2026-06 才合并 133 分支，建议提前用策略 ExtensionSettings 强制关闭高危权限扩展，避免审计盲区。

未来趋势：权限模型还会怎么改

Google 在 2026-01 的 BlinkOn 幻灯片提到，Manifest V4 草稿将把主机权限拆成“读”与“写”双维度，并在 UI 层引入“一次性授权”按钮，类似 Android 的“仅此次允许”。届时“敏感权限明细”面板可能新增“读写分离”标签，审计流程需同步更新——届时本文路径仍适用，但评判标准要从“有没有”升级为“读还是写”。

常见问题

为什么敏感权限明细面板会突然消失？

Chrome 133 默认只在扩展声明了高危主机权限或动态权限时才显示该面板；若扩展仅使用 activeTab、storage 等低风险 API，面板会被自动隐藏，属预期行为。

企业策略禁用开发者模式后还能看什么？

可前往 chrome://policy 查看 ExtensionSettings 策略原文，比对 runtime_allowed_hosts 字段；若面板被隐藏，这是唯一官方透出渠道。

安卓端与桌面端权限明细完全一致吗？

UI 文字与三级分组逻辑一致，但安卓端若被 WebAPK 接管，需要手动回到 Chrome 设置 → 扩展程序才能打开同一面板；路径差异不影响数据精度。

动态声明的权限会在面板实时更新吗？

会。扩展每次调用 chrome.permissions.request 并被用户授予后，面板会立即在“动态声明”子项下新增对应主机；若用户拒绝或撤销，则对应条目消失。

扩展更新后权限变多，如何回退版本？

Chrome 网上应用店不提供历史版本下载；企业可通过 ExtensionSettings 策略强制固定版本号，个人用户则需在更新前手动备份 crx 文件，否则只能禁用或寻找替代扩展。

风险与边界

敏感权限明细虽把静态声明拆到字段级，却无法感知运行时通过 executeScript 注入的新主机；对采用“权限拆分”或“分步索要”策略的扩展，也可能出现“面板看起来干净，实际行为越权”的假象。离线环境、ESR 旧版、企业策略强制隐藏等场景下，面板可能完全不可见，此时必须回到策略 JSON 或 crx 解压方式兜底。综上，明细面板是高效入口，但不应作为唯一证据链终点。

收尾结论

Chrome 133 把扩展权限的“黑盒”拆成可折叠的明细面板，如何查看 Chrome 扩展请求的敏感权限明细 已变成三步可达的常规操作：开开发者模式→点详情→看敏感权限。对个体用户，它是安装后的 30 秒例行检查；对企业来说，它是零信任终端治理的最小单元。只要养成“截图留档 + 每月抽查”习惯，就能把扩展越权风险压到最低，而无需等待下一个安全事件来补课。