metoda koja dozvoljava bilo kojem dodatku za Chrome da izvrši vanjski JavaScript kod bez davanja proširenih dozvola za dodatak (bez unsafe-eval i unsafe-inline u manifest.json). Dozvole podrazumijevaju da bez unsafe-eval dodatak može izvršavati samo kod koji je uključen u lokalnu distribuciju, ali predložena metoda omogućava da se zaobiđe ovo ograničenje i izvrši bilo koji JavaScript učitan sa vanjske stranice u kontekstu dodatka- on.
Google je trenutno zatvorio javni pristup , ali u arhivi primjer koda za iskorištavanje problema. Way metoda za zaobilaženje script-src 'self' ograničenja u CSP-u i svodi se na zamjenu oznake skripte putem document.createElement('script') i uključivanje vanjskog sadržaja u nju preko funkcije dohvaćanja, nakon čega će se kod izvršiti u kontekst samog dodatka.
izvor: opennet.ru