een methode waarmee elke Chrome-add-on externe JavaScript-code kan uitvoeren zonder de add-on uitgebreide machtigingen te verlenen (zonder unsafe-eval en unsafe-inline in manifest.json). Toestemmingen impliceren dat de add-on zonder onveilige evaluatie alleen code kan uitvoeren die is opgenomen in de lokale distributie, maar de voorgestelde methode maakt het mogelijk om deze beperking te omzeilen en elk JavaScript uit te voeren dat van een externe site is geladen in de context van de add-on. op.
Google heeft momenteel de publieke toegang gesloten tot , maar in het archief voorbeeldcode om het probleem te exploiteren. Manier een methode om de script-src 'self'-beperking in CSP te omzeilen en komt neer op het vervangen van een scripttag via document.createElement('script') en het daarin opnemen van externe inhoud via de fetch-functie, waarna de code wordt uitgevoerd in de context van de add-on zelf.
Bron: opennet.ru