μια μέθοδος που επιτρέπει σε οποιοδήποτε πρόσθετο του Chrome να εκτελεί εξωτερικό κώδικα JavaScript χωρίς να εκχωρεί εκτεταμένα δικαιώματα στο πρόσθετο (χωρίς μη ασφαλή-eval και μη ασφαλή ενσωματωμένη στο manifest.json). Τα δικαιώματα υπονοούν ότι χωρίς μη ασφαλή eval το πρόσθετο μπορεί να εκτελέσει μόνο κώδικα που περιλαμβάνεται στην τοπική διανομή, αλλά η προτεινόμενη μέθοδος καθιστά δυνατή την παράκαμψη αυτού του περιορισμού και την εκτέλεση οποιασδήποτε JavaScript που έχει φορτωθεί από έναν εξωτερικό ιστότοπο στο πλαίσιο του πρόσθετου επί.
Η Google έχει κλείσει αυτήν τη στιγμή τη δημόσια πρόσβαση σε , αλλά στο αρχείο δείγμα κώδικα για την εκμετάλλευση του προβλήματος. Τρόπος μια μέθοδος για την παράκαμψη του περιορισμού script-src 'self' στο CSP και καταλήγει στην αντικατάσταση μιας ετικέτας σεναρίου μέσω του document.createElement('script') και στη συμπερίληψη εξωτερικού περιεχομένου σε αυτό μέσω της συνάρτησης fetch, μετά την οποία ο κώδικας θα εκτελεστεί σε το πλαίσιο του ίδιου του πρόσθετου.
Πηγή: opennet.ru