um método que permite que qualquer complemento do Chrome execute código JavaScript externo sem conceder permissões estendidas ao complemento (sem unsafe-eval e unsafe-inline em manifest.json). As permissões implicam que sem avaliação insegura o complemento só pode executar código que está incluído na distribuição local, mas o método proposto torna possível contornar essa restrição e executar qualquer JavaScript carregado de um site externo no contexto do complemento. sobre.
O Google atualmente fechou o acesso público a , mas no arquivo código de exemplo para explorar o problema. Caminho um método para contornar a limitação 'self' do script-src no CSP e se resume a substituir uma tag de script por meio de document.createElement('script') e incluir conteúdo externo nela por meio da função fetch, após a qual o código será executado em o contexto do próprio complemento.
Fonte: opennet.ru