Adobe AIR 的 HTML 安全性

AIR 會將 sandboxRoot 和 documentRoot 特質加入 HTML 的 frame 和 iframe 元素。這些特質可以讓您將應用程式內容視為來自其它網域的內容：

下列範例會對應安裝在應用程式之 sandbox 子目錄中的內容，以便在遠端安全執行程序和 www.example.com 網域中執行：

<iframe 
    src="ui.html"  
    sandboxRoot="http://www.example.com/local/"  
    documentRoot="app:/sandbox/"> 
</iframe>

AIR 會將 childSandboxBridge 和 parentSandboxBridge 屬性加入至任何子框架的 window 物件。這些屬性可以讓您定義橋接，以做為父框架與子框架之間的介面。每個橋接都是單向的：

childSandboxBridge ： childSandboxBridge 屬性允許子框架向父框架中的內容公開介面。若要公開介面，請將 childSandbox 屬性設定為子框架中的函數或物件，然後，您就能從父框架中的內容存取物件或函數。下列範例會示範在子框架中執行的指令碼如何將包含函數和屬性的物件公開給其父輩：

var interface = {}; 
interface.calculatePrice = function(){ 
    return .45 + 1.20; 
} 
interface.storeID = "abc" 
window.childSandboxBridge = interface;

如果此子內容是在指定 id 為 "child" 的 iframe 中，您可以透過讀取該 frame 的 childSandboxBridge 屬性，從父內容中存取介面：

var childInterface = document.getElementById("child").childSandboxBridge; 
air.trace(childInterface.calculatePrice()); //traces "1.65" 
air.trace(childInterface.storeID)); //traces "abc"

parentSandboxBridge ： parentSandboxBridge 屬性允許父框架向子框架中內容公開介面。若要公開介面，請將子框架的 parentSandbox 屬性設定為父框架中的函數或物件。然後，您就能從子框架中的內容存取物件或函數。下列範例會示範父輩 frame 中執行的指令碼如何將包含 save 函數的物件公開給子系：

var interface = {}; 
interface.save = function(text){ 
    var saveFile = air.File("app-storage:/save.txt"); 
    //write text to file 
} 
document.getElementById("child").parentSandboxBridge = interface;

使用此介面，子框架中的內容可以將文字儲存至 save.txt 檔案中。但是，它對檔案系統沒有任何其它存取權限。一般來說，應用程式內容應該盡可能向其它安全執行程序公開限制最多的介面。子系內容可以呼叫 save 函數，如下所示：

var textToSave = "A string."; 
window.parentSandboxBridge.save(textToSave);

如果子內容嘗試設定 parentSandboxBridge 物件的屬性，執行階段就會擲出 SecurityError 例外。如果父內容嘗試設定 childSandboxBridge 物件的屬性，執行階段就會擲出 SecurityError 例外。

對於應用程式安全執行程序中的 HTML 內容，在載入程式碼之後使用可以動態方式將字串轉換成可執行程式碼的 API 有其限制 (在傳送 body 元素的 onload 事件，而且 onload 處理常式函數已完成執行之後)。其目的在於防止應用程式不小心從非應用程式來源 (例如可能不安全的網路網域) 插入 (並執行) 程式碼。

例如，如果您的應用程式使用遠端來源的字串資料來寫入至 DOM 元素的 innerHTML 屬性，則該字串便能包含可執行不安全操作的 (JavaScript) 程式碼。但是，載入內容時，則不會有任何將遠端字串插入 DOM 中的風險。

其中一項限制在於使用 JavaScript eval() 函數。程式碼一旦載入應用程式安全執行程序，且處理了 onload 事件處理常式之後，您就只能以有限的方式使用 eval() 函數。下列規則適用於從應用程式安全執行程序載入程式碼「之後」，使用 eval() 函數的情形。

• 允許使用其中包含常值的運算式。例如：

  eval("null"); 
  eval("3 + .14"); 
  eval("'foo'");

• 允許物件常值，如下所示：

  { prop1: val1, prop2: val2 }

• 「禁止」物件常值 setter/getter，如下所示：

  { get prop1() { ... }, set prop1(v) { ... } }

• 允許陣列常值，如下所示：

  [ val1, val2, val3 ]

• 「禁止」包含屬性讀取的運算式，如下所示：

  a.b.c

• 「禁止」函數叫用。

• 「禁止」函數定義。

• 「禁止」設定任何屬性。

• 「禁止」函數常值。

但是，載入程式碼時，在 onload 事件之前，而在執行 onload 事件處理常式函數期間，這些限制不會套用至應用程式安全執行程序中的內容。

例如，載入程式碼之後，下列程式碼會導致執行階段擲出例外：

eval("alert(44)"); 
eval("myFunction(44)"); 
eval("NativeApplication.applicationID");

如果在應用程式安全執行程序中允許以動態方式產生的程式碼 (例如呼叫 eval() 函數時所建立的程式碼)，則會產生安全性風險。例如，應用程式可能會不小心執行從網路網域中載入的字串，而該字串中可能包含惡意程式碼。舉例來說，這程式碼可能會刪除或改變使用者電腦上的檔案；或者，程式碼可能會向不受信任網路網域回報本機檔案內容。

產生動態程式碼的方式如下列所示：

• 呼叫 eval() 函數。

• 使用 innerHTML 屬性或 DOM 函數，插入指令碼標籤 (載入應用程式目錄之外的指令碼)。

• 使用 innerHTML 屬性或 DOM 函數，插入具有內嵌程式碼的指令碼標籤 (而不是經由 src 特質載入指令碼)。

• 設定 script 標籤的 src 特質，以載入應用程式目錄之外的 JavaScript 檔案。

• 使用 javascript URL 配置 (如 href="javascript:alert('Test')" )。

• 使用 setInterval() 或 setTimout() 函數，其中第一個參數 (定義函數以非同步方式執行) 是字串 (要進行評估) 而不是函數名稱 (如 setTimeout('x = 4', 1000) )。

• 呼叫 document.write() 或 document.writeln() 。

載入內容時，應用程式安全執行程序中的程式碼只能使用這些方法。

這些限制「不」會阻止搭配 JSON 物件常值使用 eval() 。這可以讓應用程式內容配合 JSON JavaScript 元件庫運作。但是，您會受到限制，因此無法使用多載的 JSON 程式碼 (搭配事件處理常式)。

對於其它 Ajax 架構和 JavaScript 程式碼元件庫，請檢查架構或元件庫中的程式碼是否能在以動態方式產生的程式碼上依照這些限制來運作。如果不是，請包含使用非應用程式安全執行程序中架構或元件庫的任何內容。如需詳細資訊，請參閱 AIR 中 JavaScript 的限制 和 在應用程式與非應用程式內容之間編寫指令碼 。Adobe 提供一份清單，當中列出可支援應用程式安全執行程序的 Ajax 架構，請參閱 http://www.adobe.com/products/air/develop/ajax/features/ 。

非應用程式安全執行程序中的 JavaScript 內容與應用程式安全執行程序中的內容不同，此 JavaScript 內容「可以」隨時呼叫 eval() 函數，執行以動態方式產生的程式碼。

非應用程式安全執行程序中的 JavaScript 程式碼不能存取 window.runtime 物件，因此這種程式碼無法執行 AIR API。如果非應用程式安全執行程序中內容呼叫下列程式碼，應用程式會擲出 TypeError 例外：

try { 
    window.runtime.flash.system.NativeApplication.nativeApplication.exit(); 
}  
catch (e)  
{ 
    alert(e); 
}

例外類型是 TypeError (未定義值)，因為非應用程式安全執行程序中的內容不認得 window.runtime 物件，因此會將其視為未定義值。

您可以使用指令碼橋接，向非應用程式安全執行程序公開執行階段功能。如需詳細資訊，請參閱 在應用程式與非應用程式內容之間編寫指令碼 。

在載入 HTML 內容時及 onLoad 事件期間，應用程式安全執行程序中的 HTML 內容不能使用同步 XMLHttpRequest 方法，從應用程式安全執行程序之外載入資料。

根據預設，非應用程式安全執行程序中的 HTML 內容不允許使用 JavaScript XMLHttpRequest 物件，從呼叫要求的網域之外其它網域載入資料。 frame 或 iframe 標籤可以包含 allowcrosscomainxhr 特質。設定此特質至任何非 null 值會允許 frame 或 iframe 中內容使用 Javascript XMLHttpRequest 物件，從呼叫要求的程式碼網域以外的網域載入資料：

<iframe id="UI" 
    src="http://example.com/ui.html" 
    sandboxRoot="http://example.com/" 
    allowcrossDomainxhr="true" 
    documentRoot="app:/"> 
</iframe>

如需詳細資訊，請參閱 在不同網域中的內容之間編寫指令碼 。

遠端 (網路) 安全執行程序中的 HTML 內容只能從 (網路 URL 的) 遠端安全執行程序載入 CSS、 frame 、 iframe 和 img 內容。

具有檔案系統的本機、具有網路連線的本機，或本機信任安全執行程序中的 HTML 內容只能從本機安全執行程序 (而不是從應用程式或遠端安全執行程序) 載入 CSS、frame、iframe 和 img 內容。

如果經由呼叫 JavaScript window.open() 方法而建立的視窗顯示來自非應用程式安全執行程序的內容，則該視窗的標題會以主 (啟動) 視窗的標題開頭，後面加上冒號字元。您不能使用程式碼，將視窗的該部分標題移出螢幕之外。

非應用程式安全執行程序中的內容只能順利呼叫 JavaScript window.open() 方法來回應由使用者滑鼠或鍵盤互動所觸發的事件。如此可防止非應用程式內容建立視窗進而可能被人以詐欺手法加以濫用 (例如進行網路釣魚攻擊)。而且，滑鼠或鍵盤事件的事件處理常式不能設定 window.open() 方法，在延遲之後執行 (例如，透過呼叫 setTimeout() 函數執行)。

遠端 (網路) 安全執行程序中的內容只能使用 window.open() 方法，開啟遠端網路安全執行程序中的內容。它不能使用 window.open() 方法，開啟來自應用程式或本機安全執行程序的內容。

具有檔案系統的本機、具有網路連線的本機，或本機信任安全執行程序中的內容 (請參閱 安全執行程序 ) 只能使用 window.open() 方法，開啟本機安全執行程序中的內容。它不能使用 window.open() 方法，開啟來自應用程式或遠端安全執行程序的內容。

如果您呼叫因為這些安全性限制而禁止在安全執行程序中使用的程式碼，執行階段便會傳送下列 JavaScript 錯誤：「應用程式安全執行程序中的 JavaScript 程式碼造成 Adobe AIR 執行階段安全性違規」。

如需詳細資訊，請參閱 避免發生與安全性有關的 JavaScript 錯誤 。