un metudu chì permette à qualsiasi add-on Chrome per eseguisce codice JavaScript esternu senza cuncede l'add-on permessi estesi (senza unsafe-eval è unsafe-inline in manifest.json). I permessi implicanu chì senza una valutazione insegura l'add-on pò eseguisce solu codice chì hè inclusu in a distribuzione lucale, ma u metudu prupostu permette di scaccià sta restrizione è eseguisce qualsiasi JavaScript caricatu da un situ esternu in u cuntestu di l'add-. nantu.
Google hà attualmente chjusu l'accessu publicu à , ma in l'archiviu codice di mostra per sfruttà u prublema. Via un metudu per scaccià a limitazione "self" di script-src in CSP è si riduce à rimpiazzà una tag di script via document.createElement('script') è includendu cuntenutu esternu in questu via a funzione fetch, dopu chì u codice serà eseguitu in u cuntestu di l'add-on stessu.
Source: opennet.ru