Compare Revisions

Application security

Revision 376681:

Revision 376681 by MarkGiffin on

Revision 376683:

Revision 376683 by MarkGiffin on

Title:
Application security
Application security
Slug:
Mozilla/Firefox_OS/Security/Application_security
Mozilla/Firefox_OS/Security/Application_security
Content:

Revision 376681
Revision 376683
t206      This means that apps can't open other apps by using iframest206      This means that apps can't open other apps by using <code>&
>. If App A creates an iframe with the src set to the URL of App B>lt;iframe&gt;</code>s. If app A creates an&nbsp;<span style="font
>, this won't actually open App B in the iframe. It will simply op>-family: 'Courier New', 'Andale Mono', monospace; line-height: no
>en the website located at that URL. It will not use any of App B'>rmal;">&lt;iframe&gt;</span>&nbsp;with <code>src</code> set to th
>s cookies and so it will behave no different than as if App B was>e URL of app B, this won't actually open app B in the <code>&lt;i
>n't installed on the user's device.>frame&gt;</code>. It will simply open the website located at that
 > URL. It will not use any of app B's cookies and so it will behav
 >e no differently than if app B wasn't installed on the user's dev
 >ice.
207    </p>
208    <p>207    </p>
209      This applies even for packaged apps (more about them below)
>. App A may not open packaged App B&nbsp; using an &lt;iframe&gt; 
> pointing to the app:// URL of App B under normal circumstances.  
>Web content also may not access app:// URLs. Attempting to access 
> an app:// URL from web content or without the proper permssio wi 
>ll fail and return an error. An App A can access contents of App  
>B if App A has the "webapps-manage" permission which is only avai 
>lable to certified apps. 
210    </p>208    <p>
209      This applies even for packaged apps (more about them below)
 >. App A may not open packaged app B&nbsp; using an <code>&lt;ifra
 >me&gt;</code> pointing to the <code>app://</code> URL of app B un
 >der normal circumstances. Web content also may not access <code>a
 >pp://</code> URLs. Attempting to access an <code>app://</code> UR
 >L from Web content or without the proper permssion will fail and 
 >return an error. And App A can access contents of app B if app A 
 >has the <code>webapps-manage</code> permission which is only avai
 >lable to certified apps.
211    <p>210    </p>
211    <p>
212      The same thing happens if the top-level frame of App A is n212      The same thing happens if the top-level frame of app A is n
>avigated to a URL for App B. We always know for a given frame whi>avigated to a URL for app B. We always know for a given frame whi
>ch app is opened in it, and so when attempting to load the App B >ch app is opened in it, and so when attempting to load the app B 
>URL in the App A frame, this will behave exactly like the two sit>URL in the app A frame, this will behave exactly like the two sit
>uations described above. I.e. in no way will App B's resources, l>uations described above. That is, in no way will app B's resource
>ike cookies or other local data, be used.>s, like cookies or other local data, be used.

Back to History