@jsunderhood А если использовать атрибут integrity для скриптов на сайте, в этом случае расширение сможет внедрить и выполнить js?
Обычно Content Security Policy — одна из первых штук, которая приходит в голову для защиты от плагинов. Сама по себе идея — хорошая, но к сожалению, в случае со скриптами не работает так, как хочется. twitter.com/SanichKotikov/…
Integrity или Subresource Integrity идет вместе c Content-Security-Policy: require-sri-for script; что требует проверки хешсум. Скрипты же действуют по-другому: либо внедряют content script на страницу, либо inline script. require-sri-for работает же для отдельных ресурсов.
Плюс с поддержкой у require-sri-for все пока еще не радужно: developer.mozilla.org/en-US/docs/Web…
Куда эффективнее будет запретить все скрипты, включая inline, кроме своего домена, но и тут плагины будут исполняться.
Не "Скрипты же действуют по-другому:", а "Расширения же действуют по-другому"