วิธีการที่ช่วยให้ส่วนเสริมของ Chrome เรียกใช้โค้ด JavaScript ภายนอกโดยไม่ต้องให้สิทธิ์เพิ่มเติมแก่ส่วนเสริม (โดยไม่มีการประเมินที่ไม่ปลอดภัยและไม่ปลอดภัยในบรรทัดใน manifest.json) สิทธิ์บอกเป็นนัยว่าหากไม่มีการประเมินที่ไม่ปลอดภัย Add-on จะสามารถรันโค้ดที่รวมอยู่ในการแจกจ่ายในเครื่องเท่านั้น แต่วิธีการที่เสนอทำให้สามารถข้ามข้อจำกัดนี้และรัน JavaScript ใด ๆ ที่โหลดจากไซต์ภายนอกในบริบทของ add- บน.
ขณะนี้ Google ได้ปิดการเข้าถึงแบบสาธารณะแล้ว แต่อยู่ในที่เก็บถาวร โค้ดตัวอย่างเพื่อใช้ประโยชน์จากปัญหา ทาง วิธีการข้ามข้อจำกัด script-src 'self' ใน CSP และลดลงเหลือเพียงการแทนที่แท็กสคริปต์ผ่าน document.createElement('script') และรวมเนื้อหาภายนอกไว้ในนั้นผ่านฟังก์ชันดึงข้อมูล หลังจากนั้นโค้ดจะถูกดำเนินการใน บริบทของส่วนเสริมนั้นเอง
ที่มา: opennet.ru