en metod som gör att alla Chrome-tillägg kan köra extern JavaScript-kod utan att ge tillägget utökade behörigheter (utan unsafe-eval och unsafe-inline i manifest.json). Behörigheter innebär att utan osäker eval kan tillägget endast exekvera kod som ingår i den lokala distributionen, men den föreslagna metoden gör det möjligt att kringgå denna begränsning och exekvera JavaScript som laddas från en extern webbplats i sammanhanget med tillägget. på.
Google har för närvarande stängt allmänhetens tillgång till , men i arkivet exempelkod för att utnyttja problemet. Sätt en metod för att kringgå script-src 'self'-begränsningen i CSP och går ut på att ersätta en skripttagg via document.createElement('script') och inkludera externt innehåll i den via hämtningsfunktionen, varefter koden kommer att exekveras i sammanhanget för själva tillägget.
Källa: opennet.ru