une méthode qui permet à n'importe quel module complémentaire Chrome d'exécuter du code JavaScript externe sans accorder au module complémentaire des autorisations étendues (sans unsafe-eval et unsafe-inline dans manifest.json). Les autorisations impliquent que sans évaluation non sécurisée, le module complémentaire ne peut exécuter que le code inclus dans la distribution locale, mais la méthode proposée permet de contourner cette restriction et d'exécuter tout JavaScript chargé depuis un site externe dans le contexte du module complémentaire. sur.
Google a actuellement fermé l'accès public à , mais dans les archives exemple de code pour exploiter le problème. Chemin une méthode pour contourner la limitation 'self' script-src dans CSP et se résume à remplacer une balise de script via document.createElement('script') et à y inclure du contenu externe via la fonction fetch, après quoi le code sera exécuté dans le contexte du module complémentaire lui-même.
Source: opennet.ru