mozilla

Compare Revisions

Safely accessing content DOM from chrome

Change Revisions

Revision 98901:

Revision 98901 by Jonathan_Watt on

Revision 98902:

Revision 98902 by PikeUK on

Title:
Safely accessing content DOM from chrome
Safely accessing content DOM from chrome
Slug:
Safely_accessing_content_DOM_from_chrome
Safely_accessing_content_DOM_from_chrome
Tags:
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
Content:

Revision 98901
Revision 98902
n11      Applications and extensions that script DOM interfaces on un11      Applications and extensions that script DOM interfaces on u
>ntrusted (web page) content need to be careful that the informati>ntrusted (web page) content need to be careful that the informati
>on that they use is really coming from the DOM API and not from J>on that they use is really coming from the DOM API and not from J
>avaScript properties, getter functions, and setter functions defi>avaScript properties, getter functions, and setter functions defi
>ned by a malicious page. Firefox 1.0.3 and Mozilla 1.7.7 make it >ned by a malicious page. Firefox 1.0.3 and Mozilla 1.7.7 make it 
>harder for web pages to trick XUL applications and extensions by >harder for web pages to trick XUL applications and extensions by 
>ensuring that when chrome JavaScript accesses a DOM property or m>ensuring that when chrome JavaScript accesses a DOM property or m
>ethod on an object, it will get the DOM property or method rather>ethod on an object, it will get the DOM property or method rather
> than the Web page's override. Firefox 1.1 has a more general sol> than the Web page's override. Firefox 1.5 has a more general sol
>ution, but extensions must currently opt in to gain the security >ution, but extensions must currently opt in to gain the security 
>benefits.>benefits.
n54            Firefox 1.1n54            Firefox 1.5
n69      Scripts designed to run only in Firefox 1.0.3 and later 1.0n69      Scripts designed to run only in Firefox 1.0.3 and later 1.0
>.x versions or that use <code>xpcnativewrappers=yes</code> in Fir>.x versions or that use <code>xpcnativewrappers=yes</code> in Fir
>efox 1.1 or later may simply call:>efox 1.5 or later may simply call:
n78      In Firefox 1.1, direct access is always secure if your exten78      In Firefox 1.5, direct access is always secure if your exte
>nsion uses the new <code>xpcnativewrappers=yes</code> flag in <a >nsion uses the new <code>xpcnativewrappers=yes</code> flag in <a 
>href="en/Chrome_Registration">its manifest</a> because then use o>href="en/Chrome_Registration">its manifest</a> because then use o
>f <a href="#About_XPCNativeWrapper">XPCNativeWrapper</a> is impli>f <a href="#About_XPCNativeWrapper">XPCNativeWrapper</a> is impli
>cit.>cit.
n105      There are two ways to use <code>XPCNativeWrapper</code>. Thn105      There are two ways to use <code>XPCNativeWrapper</code>. Th
>e old way is to use it explicitly. The <a href="en/XPCNativeWrapp>e old way is to use it explicitly. The <a href="en/XPCNativeWrapp
>er">new way</a>, xpcnativewrappers=yes, is available starting wit>er">new way</a>, xpcnativewrappers=yes, is available starting wit
>h Firefox 1.1 and its Deer Park alpha and beta pre-releases.>h Firefox 1.5 and its Deer Park alpha and beta pre-releases.
t138      BAD in versions before Firefox 1.1, since script can set dot138      BAD in versions before Firefox 1.5, since script can set do
>cument.open for non-HTML documents, which don't have a DOM docume>cument.open for non-HTML documents, which don't have a DOM docume
>nt.open:>nt.open:

Back to History