He ala e hiki ai i kekahi Chrome add-on ke hoʻokō i ka code JavaScript waho me ka ʻole o ka hāʻawi ʻana i nā ʻae i hoʻonui ʻia (me ka unfe-eval a me ka unfe-inline ma manifest.json). Manaʻo nā ʻae ʻaʻole hiki i ka add-on ke hoʻokō wale i nā code i hoʻokomo ʻia i loko o ka māhele kūloko, akā ʻo ke ʻano i manaʻo ʻia e hiki ai ke kāpae i kēia palena a hoʻokō i kekahi JavaScript i hoʻouka ʻia mai kahi pūnaewele waho i ka pōʻaiapili o ka add- ma.
Ua pani ʻo Google i kēia manawa i ka lehulehu , akā ma ka waihona code code e hoʻohana i ka pilikia. Ala he ala e kāʻalo ai i ka palena o ka script-src 'self' i ka CSP a hoʻopau i ka hoʻololi ʻana i kahi hōʻailona hōʻailona ma o document.createElement('script') a me ka hoʻokomo ʻana i nā ʻike waho i loko o ia mea ma o ka hana fetch, a laila e hoʻokō ʻia ke code i loko. ka pōʻaiapili o ka mea hoʻohui ponoʻī.
Source: opennet.ru