кез келген Chrome қондырмасына қосымша кеңейтілген рұқсаттарды бермей (manifest.json файлында қауіпсіз-бағалау және қауіпсіз-inline жоқ) сыртқы JavaScript кодын орындауға мүмкіндік беретін әдіс. Рұқсаттар қауіпті бағалаусыз қондырма тек жергілікті таратуға енгізілген кодты орындай алатынын білдіреді, бірақ ұсынылған әдіс бұл шектеуді айналып өтуге және қосымша контекстінде сыртқы сайттан жүктелген кез келген JavaScript-ті орындауға мүмкіндік береді. қосулы.
Қазіргі уақытта Google жалпыға қолжетімді қолжетімділікті жауып қойды , бірақ мұрағатта мәселені пайдалану үшін үлгі коды. Жол CSP жүйесіндегі script-src 'self' шектеуін айналып өту әдісі және сценарий тегін document.createElement('script') арқылы ауыстыруға және оған алу функциясы арқылы сыртқы мазмұнды қосуға дейін төмендейді, содан кейін код келесіде орындалады. қосымшаның контекстінің өзі.
Ақпарат көзі: opennet.ru