metoda, která umožňuje jakémukoli doplňku Chrome spouštět externí kód JavaScript bez udělování rozšířených oprávnění doplňku (bez unsafe-eval a unsafe-inline v manifest.json). Oprávnění naznačují, že bez unsafe-eval může doplněk spouštět pouze kód, který je součástí místní distribuce, ale navrhovaná metoda umožňuje obejít toto omezení a spustit jakýkoli JavaScript načtený z externího webu v kontextu doplňku- na.
Google aktuálně uzavřel veřejný přístup k , ale v archivu ukázkový kód pro zneužití problému. Cesta metoda, která obchází omezení script-src 'self' v CSP a scvrkává se na nahrazení značky skriptu pomocí document.createElement('script') a zahrnutí externího obsahu do něj pomocí funkce načítání, po kterém bude kód spuštěn v kontext samotného doplňku.
Zdroj: opennet.ru