метад, які дазваляе ў любым дадатку да Chrome дамагчыся выкананні вонкавага JavaScript-кода без падавання дадатку пашыраных паўнамоцтваў (без unsafe-eval і unsafe-inline у manifest.json). Правы доступу мяркуюць, што без unsafe-eval дадатак мае магчымасць выканаць толькі код, які ўваходзіць у лакальную пастаўку, але прапанаваны метад дае магчымасць абыйсці дадзенае абмежаванне і выканаць у кантэксце дадатку любы JavaScript, загружаны са знешняга сайта.
У цяперашні час кампанія Google закрыла публічны доступ да , але ў архіве прыклад кода для эксплуатацыі праблемы. Спосаб метаду абыходу абмежавання script-src 'self' у CSP і зводзіцца да падстаноўкі тэга script праз document.createElement('script') і ўключэнні ў яго вонкавага змесціва праз функцыю fetch, пасля чаго код будзе выкананы ў кантэксце самога дадатку.
Крыніца: opennet.ru