Смотрю щас документацию по сабжу. Есть такая забавная штука — контент-скрипты. Эти скрипты исполняются в контексте целевой страницы, имеют полный доступ к DOM, но не имеют доступа к JS этой страницы. Хз, почему они это сделали ,но вот что забавно. Делаем вот так
eval(document.querySelector("script").innerHTML)
<script src="foo.js"></script>. Это, тащемта, говорит в пользу того, что внешние скрипты использовать немного безопасней, в общем случае:)ЗЫ правда, вот такой способ в этом случае работает
src = document.querySelector("script").getAttribute("src")
with(new XMLHttpRequest){
open("GET", src, false)
send(null)
if(status == 200) eval(responseText)
}
Собственно, вопрос: а почему они, собственно ограничили доступ к JS? что может быть? Какие дыры, конкретно?
