Hallo,

Ich glaube wir laufen hier grade in ein Mißverständnis ...

eh ja. Dennoch ist die von Dir vermutete Sicherheitslücke nicht existent.

Du hast ein Problem nicht realisiert: "Jede Eingabe ist prinzipiell böse."
Ob diese aus einer Extension oder sonstwie von einer Clienteingabe im
Browsergame resultiert, das ist gleichgültig. Es ist Aufgabe der
serverseitigen Prüfung, solche Daten, insbesondere solche, die "die Karte
zerschießen können" auszusortieren.

Freundliche Grüße

Vinzenz