մեթոդ, որը թույլ է տալիս Chrome-ի ցանկացած հավելում գործարկել արտաքին JavaScript կոդը՝ առանց հավելմանը ընդլայնված թույլտվությունների տրամադրման (առանց unsafe-eval և unsafe-inline manifest.json-ում): Թույլտվությունները ենթադրում են, որ առանց անապահով էվալի հավելումը կարող է գործարկել միայն տեղական բաշխման մեջ ներառված կոդը, սակայն առաջարկվող մեթոդը հնարավորություն է տալիս շրջանցել այս սահմանափակումը և կատարել ցանկացած JavaScript, որը բեռնված է արտաքին կայքից հավելումների համատեքստում: վրա.
Google-ը ներկայումս փակել է հանրային հասանելիությունը , բայց արխիվում օրինակելի կոդը՝ խնդիրը շահագործելու համար: Ճանապարհ մեթոդ, որը շրջանցում է script-src «self» սահմանափակումը CSP-ում և հանգում է նրան, որ պետք է փոխարինել սցենարի պիտակը document.createElement('script') միջոցով և դրանում ներառել արտաքին բովանդակություն fetch ֆունկցիայի միջոցով, որից հետո կոդը կկատարվի: հավելման համատեքստն ինքնին:
Source: opennet.ru