అనుమతులు ఉన్నప్పటికీ బాహ్య కోడ్ని అమలు చేయడానికి Chrome యాడ్-ఆన్లను అనుమతించే దుర్బలత్వం
ప్రచురించబడింది యాడ్-ఆన్ పొడిగించిన అనుమతులను మంజూరు చేయకుండా బాహ్య జావాస్క్రిప్ట్ కోడ్ని అమలు చేయడానికి ఏదైనా Chrome యాడ్-ఆన్ని అనుమతించే పద్ధతి (Maninifest.jsonలో అసురక్షిత-eval మరియు అన్సేఫ్-ఇన్లైన్ లేకుండా). అసురక్షిత-ఎవాల్యూ లేకుండా యాడ్-ఆన్ స్థానిక పంపిణీలో చేర్చబడిన కోడ్ను మాత్రమే అమలు చేయగలదని అనుమతులు సూచిస్తున్నాయి, అయితే ప్రతిపాదిత పద్ధతి ఈ పరిమితిని దాటవేయడం మరియు యాడ్- సందర్భంలో బాహ్య సైట్ నుండి లోడ్ చేయబడిన ఏదైనా జావాస్క్రిప్ట్ను అమలు చేయడం సాధ్యం చేస్తుంది. పై.
Google ప్రస్తుతం పబ్లిక్ యాక్సెస్ను మూసివేసింది సమస్య నివేదిక, కానీ ఆర్కైవ్లో భద్రపరచబడింది సమస్యను ఉపయోగించుకోవడానికి నమూనా కోడ్. మార్గం ఇలాంటి CSPలో స్క్రిప్ట్-src 'సెల్ఫ్' పరిమితిని దాటవేయడానికి ఒక పద్ధతి మరియు document.createElement('script') ద్వారా స్క్రిప్ట్ ట్యాగ్ని ప్రత్యామ్నాయం చేయడం మరియు ఫెచ్ ఫంక్షన్ ద్వారా దానిలోని బాహ్య కంటెంట్ని చేర్చడం, ఆ తర్వాత కోడ్ అమలు చేయబడుతుంది యాడ్-ఆన్ యొక్క సందర్భం.