metodo kiu permesas al iu ajn Chrome-aldonaĵo ekzekuti eksteran JavaScript-kodon sen doni al la aldonaj plilongigitaj permesoj (sen unsafe-eval kaj unsafe-inline en manifest.json). Permesoj implicas ke sen nesekura-eval la aldonaĵo povas nur ekzekuti kodon kiu estas inkluzivita en la loka distribuo, sed la proponita metodo ebligas preteriri ĉi tiun limigon kaj ekzekuti ajnan JavaScript ŝarĝitan de ekstera retejo en la kunteksto de la aldonaĵo. on.
Google nuntempe fermis publikan aliron al , sed en la arkivo ekzempla kodo por ekspluati la problemon. Vojo metodo por preteriri la script-src 'mem' limigon en CSP kaj resumas al anstataŭigo de skripto-etikedo per document.createElement('script') kaj inkluzivi eksteran enhavon en ĝi per la fakfunkcio, post kiu la kodo estos efektivigita en la kunteksto de la aldonaĵo mem.
fonto: opennet.ru