一種方法,允許任何 Chrome 插件執行外部 JavaScript 程式碼,而無需授予插件擴充權限(manifest.json 中沒有 unsafe-eval 和 unsafe-inline)。 權限意味著如果沒有 unsafe-eval,附加元件只能執行本地發行版中包含的程式碼,但所提出的方法可以繞過此限制並在附加元件的上下文中執行從外部網站加載的任何 JavaScript -在。
谷歌目前已關閉公眾訪問 ,但在檔案中 利用該問題的範例程式碼。 方式 一種繞過 CSP 中 script-src 'self' 限制的方法,歸結為透過 document.createElement('script') 取代 script 標記,並透過 fetch 函數在其中包含外部內容,之後程式碼將在附加元件本身的上下文。
來源: opennet.ru