một phương pháp cho phép mọi tiện ích bổ sung của Chrome thực thi mã JavaScript bên ngoài mà không cần cấp các quyền mở rộng cho tiện ích bổ sung (không có safe-eval và không an toàn-nội tuyến trong tệp kê khai.json). Các quyền ngụ ý rằng nếu không có đánh giá không an toàn, tiện ích bổ sung chỉ có thể thực thi mã có trong bản phân phối cục bộ, nhưng phương thức được đề xuất cho phép bỏ qua hạn chế này và thực thi bất kỳ JavaScript nào được tải từ một trang web bên ngoài trong ngữ cảnh của tiện ích bổ sung- TRÊN.
Google hiện đã đóng quyền truy cập công khai vào , nhưng trong kho lưu trữ mã mẫu để khai thác vấn đề. Đường một phương pháp để vượt qua giới hạn 'tự' của script-src trong CSP và tập trung vào việc thay thế thẻ script thông qua document.createElement('script') và bao gồm nội dung bên ngoài trong đó thông qua chức năng tìm nạp, sau đó mã sẽ được thực thi trong bối cảnh của chính phần bổ sung đó.
Nguồn: opennet.ru