ọna ti o fun laaye eyikeyi afikun Chrome lati ṣiṣẹ koodu JavaScript ita laisi fifun awọn igbanilaaye ti o gbooro sii (laisi ailewu-eval ati ailewu-inline ni manifest.json). Awọn igbanilaaye tumọ si pe laisi ailewu-eval afikun le ṣiṣẹ koodu nikan ti o wa pẹlu pinpin agbegbe, ṣugbọn ọna ti a dabaa jẹ ki o ṣee ṣe lati fori ihamọ yii ki o ṣiṣẹ eyikeyi JavaScript ti kojọpọ lati aaye ita ni aaye ti afikun- lori.
Google ti pa wiwọle si gbogbo eniyan lọwọlọwọ si , sugbon ni pamosi koodu ayẹwo lati lo nilokulo iṣoro naa. Ọna ọna lati fori aropin-src 'ara' aropin ni CSP ati õwo si isalẹ lati fidipo aami iwe afọwọkọ nipasẹ document.createElement ('script') ati pẹlu akoonu ita ninu rẹ nipasẹ iṣẹ mimu, lẹhin eyi koodu yoo ṣiṣẹ ni awọn ti o tọ ti awọn fi-lori ara.
orisun: opennet.ru