アドオンに拡張アクセス許可を付与せずに (manifest.json の unsafe-eval および unsafe-inline を使用せずに)、Chrome アドオンが外部 JavaScript コードを実行できるようにするメソッド。 権限は、unsafe-eval がなければ、アドオンはローカル ディストリビューションに含まれるコードのみを実行できることを意味しますが、提案された方法では、この制限をバイパスして、アドオンのコンテキストで外部サイトからロードされた JavaScript を実行できます。の上。
Google は現在、への一般アクセスを閉鎖しています 、ただしアーカイブにあります 問題を悪用するサンプルコード。 方法 CSP の script-src 'self' 制限をバイパスする方法。要約すると、document.createElement('script') を介してスクリプト タグを置換し、フェッチ関数を介して外部コンテンツをそのタグに含めます。その後、コードが実行されます。アドオン自体のコンテキスト。
出所: オープンネット.ru