Опубликован метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего Javasсript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eva дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой Javasсript, загруженный с внешнего сайта.