isang paraan na nagbibigay-daan sa anumang add-on ng Chrome na magsagawa ng external na JavaScript code nang hindi binibigyan ang mga add-on na pinahabang pahintulot (nang walang hindi ligtas na eval at hindi ligtas na inline sa manifest.json). Ipinahihiwatig ng mga pahintulot na walang hindi ligtas na pag-ebal ang add-on ay maaari lamang magsagawa ng code na kasama sa lokal na pamamahagi, ngunit ginagawang posible ng iminungkahing pamamaraan na laktawan ang paghihigpit na ito at isagawa ang anumang JavaScript na na-load mula sa isang panlabas na site sa konteksto ng add- sa.
Kasalukuyang isinara ng Google ang pampublikong pag-access sa , ngunit sa archive sample code para samantalahin ang problema. Paraan isang paraan upang i-bypass ang limitasyon ng 'self' ng script-src sa CSP at bumulusok sa pagpapalit ng script tag sa pamamagitan ng document.createElement('script') at pagsasama ng panlabas na nilalaman dito sa pamamagitan ng fetch function, pagkatapos nito ay isasagawa ang code sa ang konteksto ng add-on mismo.
Pinagmulan: opennet.ru