mozilla

Compare Revisions

Safely accessing content DOM from chrome

Change Revisions

Revision 98884:

Revision 98884 by Jesse on

Revision 98885:

Revision 98885 by Jesse on

Title:
Safely accessing content DOM from chrome
Safely accessing content DOM from chrome
Slug:
Safely_accessing_content_DOM_from_chrome
Safely_accessing_content_DOM_from_chrome
Tags:
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
Content:

Revision 98884
Revision 98885
n66      Scripts designed to run only in Firefox 1.0.3 and later 1.0n66      Scripts designed to run only in Firefox 1.0.3 and later 1.0
> versions or that use <code>xpcnativewrappers=yes</code> in Firef>.x versions or that use <code>xpcnativewrappers=yes</code> in Fir
>ox 1.1 or later may simply call:>efox 1.1 or later may simply call:
n72      Scripts that are designed to run in <i>both</i> Firefox 1.0n72      Direct access is secure in Firefox 1.0.3 (and later 1.0.x v
>.2 and earlier and Firefox 1.0.3 and later must use the <code>XPC>ersions) as long as the object is guaranteed to have the property
>NativeWrapper</code> version of the script.> or method that is accessed through its IDL declaration. For exam
 >ple, foo.nodeType is secure as long as you are sure foo is a Node
 >, and foo.getSelection() is secure as long as you are sure foo is
 > a (...). Getting this right can be tricky -- for example, HTMLDo
 >cuments are guaranteed to have a title property, but other types 
 >of documents are not.
t75      Direct access is insecure in Firefox 1.0.2, but that versiot75      In Firefox 1.1, direct access is always secure as long as y
>n of Firefox has secure holes of its own. It is secure in Firefox>our extension uses the new <code>xpcnativewrappers=yes</code> fla
> 1.0.3 as long as the object is guaranteed to have the property o>g in <a href="en/Chrome_Registration">its manifest</a> because th
>r method that is accessed through its IDL declaration. For exampl>e use of <a href="#About_XPCNativeWrapper">XPCNativeWrapper</a> i
>e, foo.nodeType is secure as long as you are sure foo is a Node, >s implicit.
>and foo.getSelection() is secure as long as you are sure foo is a 
> (...). In Firefox 1.1, direct access is always secure as long as 
> your extension uses the new <code>xpcnativewrappers=yes</code> f 
>lag in <a href="en/Chrome_Registration">its manifest</a> because  
>the use of <a href="#About_XPCNativeWrapper">XPCNativeWrapper</a> 
> is implicit. 
76    </p>
77    <p>
78      <br>

Back to History