هڪ طريقو جيڪو ڪنهن به ڪروم ايڊ-آن کي اجازت ڏئي ٿو ٻاهرين جاوا اسڪرپٽ ڪوڊ کي ايگزيڪيوٽو ڪرڻ جي بغير ايڊ-آن جي وڌايل اجازتن جي (بغير غير محفوظ-اول ۽ غير محفوظ-ان لائن manifest.json ۾). اجازتن جو مطلب اهو آهي ته بغير غير محفوظ ايول کان سواءِ اضافو صرف ڪوڊ تي عمل ڪري سگهي ٿو جيڪو مقامي تقسيم ۾ شامل آهي، پر تجويز ڪيل طريقو هن پابندي کي نظرانداز ڪرڻ ۽ اضافي جي حوالي سان ڪنهن ٻاهرين سائيٽ تان لوڊ ٿيل ڪنهن به جاوا اسڪرپٽ تي عمل ڪرڻ ممڪن بڻائي ٿو. تي.
گوگل هن وقت تائين عوامي رسائي بند ڪري ڇڏي آهي ، پر آرڪائيو ۾ نموني ڪوڊ جو مسئلو استحصال ڪرڻ لاء. رستو CSP ۾ اسڪرپٽ-src 'self' جي حد کان پاسو ڪرڻ جو طريقو ۽ document.createElement('script') ذريعي اسڪرپٽ ٽيگ کي متبادل ڪرڻ ۽ ان ۾ خارجي مواد شامل ڪرڻ لاءِ فيچ فنڪشن جي ذريعي، جنهن کان پوءِ ڪوڊ تي عمل ڪيو ويندو خود اضافو جي حوالي سان.
جو ذريعو: opennet.ru