MDN may have intermittent access issues April 18 13:00 - April 19 01:00 UTC. See whistlepig.mozilla.org for all notifications.

mozilla

Compare Revisions

Safely accessing content DOM from chrome

Change Revisions

Revision 98902:

Revision 98902 by PikeUK on

Revision 98903:

Revision 98903 by Bzbarsky on

Title:
Safely accessing content DOM from chrome
Safely accessing content DOM from chrome
Slug:
Safely_accessing_content_DOM_from_chrome
Safely_accessing_content_DOM_from_chrome
Tags:
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
DOM, Extensions, Add-ons, Security, XPCNativeWrapper
Content:

Revision 98902
Revision 98903
t11      Applications and extensions that script DOM interfaces on ut11      Applications and extensions that script DOM interfaces on u
>ntrusted (web page) content need to be careful that the informati>ntrusted (web page) content need to be careful that the informati
>on that they use is really coming from the DOM API and not from J>on that they use is really coming from the DOM API and not from J
>avaScript properties, getter functions, and setter functions defi>avaScript properties, getter functions, and setter functions defi
>ned by a malicious page. Firefox 1.0.3 and Mozilla 1.7.7 make it >ned by a malicious page. Firefox 1.0.3 and Mozilla 1.7.7 make it 
>harder for web pages to trick XUL applications and extensions by >harder for web pages to trick XUL applications and extensions by 
>ensuring that when chrome JavaScript accesses a DOM property or m>ensuring that when chrome JavaScript accesses a DOM property or m
>ethod on an object, it will get the DOM property or method rather>ethod on an object, it will get the DOM property or method rather
> than the Web page's override. Firefox 1.5 has a more general sol> than the Web page's override. Firefox 1.5 has a more general sol
>ution, but extensions must currently opt in to gain the security >ution that's enabled by default; extensions have to explicitly op
>benefits.>t out to perform insecure DOM access.

Back to History