edozein Chrome gehigarriri kanpoko JavaScript kodea exekutatzeko aukera ematen dion metodoa gehigarriaren baimen hedatuak eman gabe (unsafe-eval eta unsafe-inline manifest.json-en). Baimenek esan nahi dute ebaluazio ez-segururik gabe gehigarriak tokiko banaketan sartzen den kodea bakarrik exekutatu dezakeela, baina proposatutako metodoak aukera ematen du murrizketa hori saihestea eta kanpoko gune batetik kargatutako edozein JavaScript exekutatzeko gehigarriaren testuinguruan. on.
Une honetan, Google-k sarbide publikoa itxi du , baina artxiboan lagin kodea arazoa ustiatzeko. Bidea CSP-n script-src 'self' muga saihesteko metodo bat eta script-etiketa bat document.createElement('script') bidez ordezkatzean eta kanpo-edukia eskuratze funtzioaren bidez barneratzean datza, eta ondoren kodea exekutatuko da. gehigarriaren beraren testuingurua.
Iturria: opennet.ru