usa ka pamaagi nga nagtugot sa bisan unsa nga Chrome add-on sa pag-execute sa external JavaScript code nga walay paghatag sa add-on nga gilugwayan nga mga permiso (walay unsafe-eval ug unsafe-inline sa manifest.json). Gipasabot sa mga permiso nga kung wala’y dili luwas nga pag-ebal ang add-on mahimo ra nga ipatuman ang code nga gilakip sa lokal nga pag-apod-apod, apan ang gisugyot nga pamaagi nagpaposible nga malaktawan kini nga pagdili ug ipatuman ang bisan unsang JavaScript nga gikarga gikan sa usa ka eksternal nga site sa konteksto sa pagdugang- sa.
Gisirado karon sa Google ang publiko nga pag-access sa , apan sa archive sample code aron mapahimuslan ang problema. Paagi usa ka paagi sa paglaktaw sa limitasyon sa 'kaugalingon' sa script-src sa CSP ug nagbukal sa pag-ilis sa usa ka tag sa script pinaagi sa document.createElement('script') ug lakip na ang gawas nga sulod niini pinaagi sa fetch function, pagkahuman ang code ipatuman sa ang konteksto sa add-on mismo.
Source: opennet.ru