metóda, ktorá umožňuje akémukoľvek doplnku Chrome spustiť externý kód JavaScript bez udelenia rozšírených povolení doplnku (bez unsafe-eval a unsafe-inline v manifest.json). Povolenia znamenajú, že bez nebezpečného evalu môže doplnok spustiť iba kód, ktorý je zahrnutý v lokálnej distribúcii, ale navrhovaná metóda umožňuje obísť toto obmedzenie a spustiť akýkoľvek JavaScript načítaný z externej stránky v kontexte doplnku. na.
Spoločnosť Google momentálne uzavrela verejný prístup k , ale v archíve vzorový kód na zneužitie problému. spôsob metóda na obídenie obmedzenia script-src 'self' v CSP a obmedzuje sa na nahradenie značky skriptu cez document.createElement('script') a zahrnutie externého obsahu do nej pomocou funkcie fetch, po ktorej sa kód spustí v kontext samotného doplnku.
Zdroj: opennet.ru