en metode som lar et hvilket som helst Chrome-tillegg kjøre ekstern JavaScript-kode uten å gi tillegget utvidede tillatelser (uten unsafe-eval og unsafe-inline i manifest.json). Tillatelser innebærer at tillegget uten usikker eval bare kan kjøre kode som er inkludert i den lokale distribusjonen, men den foreslåtte metoden gjør det mulig å omgå denne begrensningen og kjøre JavaScript lastet fra et eksternt nettsted i konteksten av tillegget. på.
Google har for øyeblikket stengt offentlig tilgang til , men i arkivet eksempelkode for å utnytte problemet. Vei en metode for å omgå script-src 'selv'-begrensningen i CSP og koker ned til å erstatte en script-tag via document.createElement('script') og inkludere eksternt innhold i den via hentefunksjonen, hvoretter koden vil bli utført i konteksten til selve tillegget.
Kilde: opennet.ru