主要观点：Google Chrome 正逐步淘汰 MV2 而倾向于 MV3，这对广告拦截器不利，因为 MV3 移除了webRequestBlocking权限，而广告拦截器依赖此权限。作者发现并向 Google 报告了 Chrome 中的一个 2023 年的 bug，该 bug 使webRequestBlocking（以及广告拦截器）在 MV3 中仍能工作。

关键信息：

• MV：“manifest version”，MV3 为 Chrome 扩展引入了新的运行时，移除了webRequestBlocking权限。
• 2015 - 2016 年，Google 在页面中注入 JS 文件导致多个 Universal XSS 漏洞。
• 如今仍有少量 JS 绑定文件存在，如chrome.webRequest仍使用 JS 绑定。
• 可通过创建自定义webRequest事件并利用opt_webViewInstanceId参数绕过权限检查来实现广告拦截功能，但此漏洞在 2020 年已被弃用，作者 2023 年报告该 bug 后，Chrome 118 进行了修复。

重要细节：

• 作者认为此 bug 是其发现的最有趣的 bug。
• 报告该 bug 仅获得 0 美元奖励，Google 认为其不是安全问题，因为未给扩展提供额外数据访问权限。
• 文中提供了相关代码示例及相关 bug 报告链接等。