metoda, ki kateremu koli dodatku za Chrome omogoča izvajanje zunanje kode JavaScript, ne da bi dodatku dodelila razširjena dovoljenja (brez unsafe-eval in unsafe-inline v manifest.json). Dovoljenja pomenijo, da lahko dodatek brez unsafe-eval izvaja le kodo, ki je vključena v lokalno distribucijo, vendar predlagana metoda omogoča obidenje te omejitve in izvajanje katerega koli JavaScripta, naloženega z zunanjega mesta v kontekstu dodatka. na.
Google je trenutno zaprl javni dostop do , ampak v arhivu vzorčna koda za izkoriščanje težave. Pot metoda za obhod omejitve 'samo' script-src v CSP in se zmanjša na zamenjavo oznake skripta prek document.createElement('script') in vključitev zunanje vsebine vanjo prek funkcije pridobivanja, nato pa bo koda izvedena v kontekst samega dodatka.
Vir: opennet.ru