同源策略绕过

由于在从常规网页传递的消息中缺乏适当的origin检查,网页能够通过Read&Write Chrome扩展(易受攻击的版本1.8.0.139)调用敏感的后台API。这些API中的很多都允许危险的操作,这些操作并不意味着可以通过互联网上的任意网页进行调用。