一种方法,允许任何 Chrome 插件执行外部 JavaScript 代码,而无需授予插件扩展权限(manifest.json 中没有 unsafe-eval 和 unsafe-inline)。 权限意味着如果没有 unsafe-eval,附加组件只能执行本地发行版中包含的代码,但所提出的方法可以绕过此限制并在附加组件的上下文中执行从外部站点加载的任何 JavaScript -在。
谷歌目前已关闭公众访问 ,但在档案中 利用该问题的示例代码。 方式 一种绕过 CSP 中 script-src 'self' 限制的方法,归结为通过 document.createElement('script') 替换 script 标记,并通过 fetch 函数在其中包含外部内容,之后代码将在附加组件本身的上下文。
来源: opennet.ru