metoda koja omogućuje bilo kojem dodatku Chromea da izvrši vanjski JavaScript kod bez davanja proširenih dopuštenja dodatku (bez unsafe-eval i unsafe-inline u manifest.json). Dopuštenja impliciraju da bez unsafe-eval dodatak može izvršiti samo kod koji je uključen u lokalnu distribuciju, ali predložena metoda omogućuje zaobilaženje ovog ograničenja i izvršavanje bilo kojeg JavaScripta učitanog s vanjske stranice u kontekstu dodatka. na.
Google je trenutno zatvorio javni pristup , ali u arhivi primjer koda za iskorištavanje problema. Put metoda za zaobilaženje 'self' ograničenja script-src u CSP-u i svodi se na zamjenu oznake skripte putem document.createElement('script') i uključivanje vanjskog sadržaja u nju putem funkcije dohvaćanja, nakon čega će se kôd izvršiti u kontekst samog dodatka.
Izvor: opennet.ru