një metodë që lejon çdo shtesë të Chrome të ekzekutojë kodin e jashtëm JavaScript pa i dhënë shtesës leje të zgjeruara (pa unsafe-eval dhe unsafe-inline në manifest.json). Lejet nënkuptojnë se pa eval të pasigurt, shtesa mund të ekzekutojë vetëm kodin që përfshihet në shpërndarjen lokale, por metoda e propozuar bën të mundur anashkalimin e këtij kufizimi dhe ekzekutimin e çdo JavaScript të ngarkuar nga një sajt i jashtëm në kontekstin e shtesës. në.
Google aktualisht ka mbyllur aksesin publik në , por në arkiv kodi i mostrës për të shfrytëzuar problemin. Mënyra një metodë për të anashkaluar kufizimin "vetë" script-src në CSP dhe zbret në zëvendësimin e një etikete skripti përmes document.createElement('script') dhe përfshirjen e përmbajtjes së jashtme në të nëpërmjet funksionit fetch, pas së cilës kodi do të ekzekutohet në vetë konteksti i shtesës.
Burimi: opennet.ru