'n metode wat enige Chrome-byvoeging toelaat om eksterne JavaScript-kode uit te voer sonder om die byvoeging uitgebreide toestemmings toe te staan (sonder onveilige-eval en onveilig-inlyn in manifest.json). Toestemmings impliseer dat sonder onveilige eval die byvoeging slegs kode kan uitvoer wat by die plaaslike verspreiding ingesluit is, maar die voorgestelde metode maak dit moontlik om hierdie beperking te omseil en enige JavaScript wat vanaf 'n eksterne webwerf gelaai is in die konteks van die byvoeging uit te voer. aan.
Google het tans publieke toegang tot , maar in die argief voorbeeldkode om die probleem uit te buit. Manier 'n metode om die script-src 'self' beperking in CSP te omseil en kom daarop neer om 'n script tag te vervang via document.createElement('script') en eksterne inhoud daarin in te sluit via die haalfunksie, waarna die kode uitgevoer sal word in die konteks van die byvoeging self.
Bron: opennet.ru