en metode, der tillader enhver Chrome-tilføjelse at udføre ekstern JavaScript-kode uden at give tilføjelsen udvidede tilladelser (uden unsafe-eval og unsafe-inline i manifest.json). Tilladelser indebærer, at tilføjelsen uden unsafe-eval kun kan udføre kode, der er inkluderet i den lokale distribution, men den foreslåede metode gør det muligt at omgå denne begrænsning og udføre enhver JavaScript indlæst fra et eksternt websted i forbindelse med tilføjelsen. på.
Google har i øjeblikket lukket offentlig adgang til , men i arkivet eksempelkode for at udnytte problemet. Vej en metode til at omgå script-src'selv-begrænsningen i CSP og bunder i at erstatte et script-tag via document.createElement('script') og inkludere eksternt indhold i det via hentefunktionen, hvorefter koden vil blive eksekveret i konteksten af selve tilføjelsen.
Kilde: opennet.ru