Согласно вашему комментарию, расширение не было отклонено автоматической проверкой (которая всегда выдает много предупреждений, которые не имеют реального значения), а рецензентом.Рецензент считает следующую строку в вашем скрипте небезопасной:
button.innerHTML = wrapper.text;
Рецензент, однако, не прав, и вам следует ответить на почту (ваш ответ будет отправлен в список рассылки amo-editors), указав, что:
wrapper.text - это не какой-либо текст, предоставленный веб-страницей или пользователем.Это скорее что-то, что жестко запрограммировано в вашем расширении, его возможные значения известны заранее, и санитарная обработка не нужна.
Даже , если wrapper.text - это какой-то текст, которыйВы получили с веб-страницы - button вставляется как элемент этой самой веб-страницы.Это означает, что любой код JavaScript, который выполняется из-за неправильной очистки, выполняется с привилегиями веб-страницы.Веб-страница не получает больше привилегий, чем у нее уже есть.
Так что, хотя innerHTML является распространенным источником проблем безопасности, в данном случае это не так.