روشی که به هر افزونه کروم اجازه میدهد تا کد جاوا اسکریپت خارجی را بدون اعطای مجوزهای توسعهیافته (بدون غیرایمن eval و غیرایمن در manifest.json) اجرا کند. مجوزها حاکی از آن است که افزونه تنها میتواند کدی را که در توزیع محلی گنجانده شده است، بدون امنیت ناامن اجرا کند، اما روش پیشنهادی دور زدن این محدودیت و اجرای هر جاوا اسکریپت بارگیری شده از یک سایت خارجی در زمینه افزودنی را ممکن میسازد. بر.
گوگل در حال حاضر دسترسی عمومی به آن را بسته است ، اما در آرشیو نمونه کد برای سوء استفاده از مشکل مسیر روشی برای دور زدن محدودیت script-src 'self' در CSP و به جایگزینی یک تگ اسکریپت از طریق document.createElement('script') و گنجاندن محتوای خارجی در آن از طریق تابع fetch خلاصه می شود که پس از آن کد در آن اجرا می شود. زمینه خود افزونه
منبع: opennet.ru