aðferð sem gerir hvaða Chrome viðbót sem er til að keyra utanaðkomandi JavaScript kóða án þess að veita viðbótinni auknar heimildir (án unsafe-eval og unsafe-inline í manifest.json). Heimildir gefa til kynna að án óöruggs evals getur viðbótin aðeins keyrt kóða sem er innifalinn í staðbundinni dreifingu, en fyrirhuguð aðferð gerir það mögulegt að komast framhjá þessari takmörkun og keyra hvaða JavaScript sem er hlaðið frá ytri síðu í samhengi við viðbótina- á.
Google hefur nú lokað almennum aðgangi að , en í skjalasafni sýnishornskóða til að nýta vandamálið. Leið aðferð til að komast framhjá script-src 'self' takmörkuninni í CSP og snýst um að skipta um script tag í gegnum document.createElement('script') og innihalda utanaðkomandi efni í það í gegnum niðurhalsaðgerðina, eftir það verður kóðinn keyrður í samhengi viðbótarinnar sjálfrar.
Heimild: opennet.ru