HTML-Sicherheit in Adobe AIR

AIR fügt den frame- und iframe-HTML-Elementen die Attribute sandboxRoot und documentRoot hinzu. Mithilfe dieser Attribute kann Anwendungsinhalt so behandelt werden, als käme er aus einer anderen Domäne:

Im folgenden Beispiel wird Inhalt im Sandbox-Unterverzeichnis der Anwendung für die Ausführung in der Remote-Sandbox und der Domäne www.example.com domain bestimmt:

<iframe 
    src="ui.html"  
    sandboxRoot="http://www.example.com/local/"  
    documentRoot="app:/sandbox/"> 
</iframe>

AIR fügt die childSandboxBridge -Eigenschaft und die parentSandboxBridge -Eigenschaft dem window -Objekt jedes untergeordneten Frames hinzu. Mit diesen Eigenschaften können Sie Brücken definieren, die als Schnittstellen zwischen einem übergeordneten und einem untergeordneten Frame dienen. Jede Brücke verläuft in eine Richtung:

childSandboxBridge – Die childSandboxBridge -Eigenschaft ermöglicht dem untergeordneten Frame, eine Schnittstelle zum Inhalt im übergeordneten Frame zu öffnen. Um eine Schnittstelle zu öffnen, stellen Sie die childSandbox -Eigenschaft für eine Funktion oder ein Objekt im untergeordneten Frame ein. Sie können dann vom Inhalt im übergeordneten Frame aus auf das Objekt oder die Funktion zugreifen. Im folgenden Beispiel wird veranschaulicht, wie ein Skript, das in einem untergeordneten Frame ausgeführt wird, ein Objekt, das eine Funktion und eine Eigenschaft enthält, für den übergeordneten Frame öffnen kann:

var interface = {}; 
interface.calculatePrice = function(){ 
    return .45 + 1.20; 
} 
interface.storeID = "abc" 
window.childSandboxBridge = interface;

Wenn sich dieser untergeordnete Inhalt in einem Inlineframe mit der zugewiesenen id "child" befindet, können Sie vom übergeordneten Inhalt auf die Schnittstelle zugreifen, indem Sie die childSandboxBridge -Eigenschaft des Frames lesen:

var childInterface = document.getElementById("child").childSandboxBridge; 
air.trace(childInterface.calculatePrice()); //traces "1.65" 
air.trace(childInterface.storeID)); //traces "abc"

parentSandboxBridge – Die parentSandboxBridge -Eigenschaft ermöglicht dem übergeordneten Frame, eine Schnittstelle zum Inhalt im untergeordneten Frame zu öffnen. Um eine Schnittstelle zu öffnen, stellen Sie die parentSandbox -Eigenschaft für eine Funktion oder ein Objekt im übergeordneten Frame ein. Sie können dann vom Inhalt im untergeordneten Frame aus auf das Objekt oder die Funktion zugreifen. Im folgenden Beispiel wird veranschaulicht, wie ein Skript, das im übergeordneten Frame ausgeführt wird, ein Objekt, das eine save-Funktion enthält, für einen untergeordneten Frame öffnen kann:

var interface = {}; 
interface.save = function(text){ 
    var saveFile = air.File("app-storage:/save.txt"); 
    //write text to file 
} 
document.getElementById("child").parentSandboxBridge = interface;

Unter Verwendung dieser Schnittstelle könnte Inhalt im untergeordneten Frame Text in einer Datei mit dem Namen „save.txt“ speichern. Der Inhalt hätte jedoch ansonsten keinen Zugriff auf das Dateisystem. Im Allgemeinen sollte Anwendungsinhalt die kleinstmögliche Schnittstelle zu anderen Sandboxen öffnen. Der untergeordnete Inhalt könnte die save-Funktion wie folgt aufrufen:

var textToSave = "A string."; 
window.parentSandboxBridge.save(textToSave);

Wenn untergeordneter Inhalt versucht, eine Eigenschaft des parentSandboxBridge -Objekts festzulegen, gibt die Laufzeitumgebung eine SecurityError-Ausnahme aus. Wenn übergeordneter Inhalt versucht, eine Eigenschaft des childSandboxBridge -Objekts festzulegen, gibt die Laufzeitumgebung eine SecurityError-Ausnahme aus.

Für HTML-Inhalt in der Sicherheits-Sandbox der Anwendung gelten Beschränkungen für die Verwendung von APIs, die Strings dynamisch in ausführbaren Code umwandeln können, nachdem der Code geladen wurde (nachdem das onload -Ereignis des body -Elements ausgelöst und die Ausführung der onload -Prozedurfunktion beendet wurde). Auf diese Weise wird verhindert, dass die Anwendung ungewollt Code aus anderen Quellen als der Anwendung (zum Beispiel von potenziell unsicheren Netzwerkdomänen) einfügt und ausführt.

Wenn Ihre Anwendung zum Beispiel Stringdaten von einer Remote-Quelle verwendet, um in die innerHTML-Eigenschaft eines DOM-Elements zu schreiben, könnte der String ausführbaren (JavaScript-)Code enthalten, der unsichere Operationen ausführen könnte. Während der Inhalt geladen wird, besteht jedoch kein Risiko, dass Remote-Strings in das DOM geschrieben werden.

Eine Beschränkung besteht für die Verwendung der JavaScript-Funktion eval() . Nachdem Code in die Anwendungs-Sandbox geladen und die onload-Ereignisprozedur verarbeitet wurde, können Sie die eval() -Funktion nur eingeschränkt verwenden. Die folgenden Regeln gelten für die Verwendung der eval() -Funktion nachdem Code aus der Anwendungs-Sandbox geladen wurde:

• Ausdrücke, die Literale beinhalten, sind zulässig. Zum Beispiel:

  eval("null"); 
  eval("3 + .14"); 
  eval("'foo'");

• Objektliterale sind zulässig, wie im Folgenden:

  { prop1: val1, prop2: val2 }

• Set-/Get-Methoden für Objektliterale sind unzulässig , wie im Folgenden:

  { get prop1() { ... }, set prop1(v) { ... } }

• Arrayliterale sind zulässig, wie im Folgenden:

  [ val1, val2, val3 ]

• Ausdrücke, die Eigenschaften beinhalten, sind unzulässig , wie im Folgenden:

  a.b.c

• Der Funktionsaufruf ist unzulässig .

• Funktionsdefinitionen sind unzulässig .

• Das Einstellen von Eigenschaften ist unzulässig .

• Funktionsliterale sind unzulässig .

Während der Code geladen wird, vor dem onload -Ereignis, und während der Ausführung der onload -Ereignisprozedurfunktion, gelten diese Beschränkungen für Inhalte in der Sicherheits-Sandbox der Anwendung jedoch nicht.

Nachdem der Code geladen wurde, führt der folgende Code zum Beispiel dazu, dass die Laufzeitumgebung eine Ausnahme ausgibt:

eval("alert(44)"); 
eval("myFunction(44)"); 
eval("NativeApplication.applicationID");

Dynamisch generierter Code, wie zum Beispiel der beim Aufrufen der eval() -Funktion generierte Code, würde ein Sicherheitsrisiko darstellen, wenn er innerhalb der Anwendungs-Sandbox zulässig wäre. Eine Anwendung könnte zum Beispiel unbeabsichtigt einen String ausführen, der aus einer Netzwerkdomäne geladen wurde und schädlichen Code enthält. Dieser Code könnte beispielsweise dazu führen, dass Dateien auf dem Computer des Benutzer gelöscht oder verändert werden. Es wäre auch möglich, dass der Code den Inhalt einer lokalen Daten an eine nicht vertrauenswürdige Netzwerkdomäne weitergibt.

Dynamischer Code kann auf folgende Weise generiert werden:

• Aufrufen der eval() -Funktion.

• Verwenden von innerHTML -Eigenschaften oder DOM-Funktionen, um Skript-Tags einzufügen, die ein Skript außerhalb des Anwendungsverzeichnisses laden.

• Verwenden von innerHTML -Eigenschaften oder DOM-Funktionen, um Skript-Tags einzufügen, die Inlinecode enthalten (anstatt ein Skript über das src -Attribut zu laden).

• Einstellen des src -Attributs für ein script -Tag, um eine JavaScript-Datei zu laden, die sich außerhalb des Anwendungsverzeichnisses befindet.

• Verwenden des javascript -URL-Schemas (wie in href="javascript:alert('Test')" ).

• Verwenden der setInterval() - oder setTimout() -Funktion, wenn der erste Parameter (der die asynchrone Ausführung der Funktion festlegt) ein (zu evaluierender) String ist anstatt ein Funktionsname (wie in setTimeout('x = 4', 1000) ).

• Aufrufen der document.write() - oder document.writeln() -Methode.

Code in der Anwendungs-Sandbox kann diese Methoden nur verwenden, während Inhalt geladen wird.

Diese Beschränkungen verhindern nicht die Verwendung von eval() mit JSON-Objektliteralen. Auf diese Weise kann Ihr Anwendungsinhalt mit der JSON-JavaScript-Bibliothek arbeiten. Sie können jedoch keinen überladenen JSON-Code (mit Ereignisprozeduren) verwenden.

Überprüfen Sie bei anderen Ajax-Frameworks und JavaScript-Codebibliotheken, ob der Code im Framework bzw. in der Bibliothek im Rahmen dieser Beschränkungen für dynamisch generierten Code funktioniert. Ist dies nicht der Fall, platzieren Sie alle Inhalte, die das Framework oder die Bibliothek verwenden, in einer anwendungsfremden Sandbox. Einzelheiten finden Sie unter Einschränkungen für JavaScript in AIR und Skripterstellung zwischen Anwendungsinhalt und anwendungsfremdem Inhalt . Adobe unterhält eine Liste von Ajax-Frameworks, die die Anwendungs-Sandbox unterstützen, unter http://www.adobe.com/de/products/air/develop/ajax/features/ .

Anders als Inhalt in der Anwendungs-Sandbox kann JavaScript-Inhalt in einer anwendungsfremden Sandbox jederzeit die eval() -Funktion aufrufen, um dynamisch generierten Code auszuführen.

JavaScript-Code in einer anwendungsfremden Sandbox hat keinen Zugriff auf das window.runtime -Objekt und der Code kann keine AIR-APIs ausführen. Wenn Inhalt in einer anwendungsfremden Sandbox den folgenden Code aufruft, gibt die Anwendung eine TypeError-Ausnahme aus:

try { 
    window.runtime.flash.system.NativeApplication.nativeApplication.exit(); 
}  
catch (e)  
{ 
    alert(e); 
}

Der Ausnahmetyp ist TypeError (nicht definierter Wert), da Inhalt in der anwendungsfremden Sandbox das window.runtime -Objekt nicht erkennt und es deshalb als nicht definierten Wert betrachtet.

Sie können Funktionen der Laufzeitumgebung für Inhalt in einer anwendungsfremden Sandbox öffnen, indem Sie eine Skriptbrücke verwenden. Weitere Informationen finden Sie unter Skripterstellung zwischen Anwendungsinhalt und anwendungsfremdem Inhalt .

HTML-Inhalt in der Anwendungs-Sandbox kann keine synchronen XMLHttpRequest-Methoden verwenden, um Daten von außerhalb der Anwendungs-Sandbox zu laden, während der HTML-Inhalt geladen wird und während ein onLoad -Ereignis auftritt.

Standardmäßig ist es für HTML-Inhalt in anwendungsfremden Sandboxen nicht zulässig, mit dem JavaScript-XMLHttpRequest-Objekt Daten aus anderen Domänen als der aufrufenden Domäne zu laden. Ein frame - oder iframe -Tag kann ein allowcrosscomainxhr -Attribut beinhalten. Wenn dieses Attribut auf einen anderen Wert als null eingestellt ist, kann der Inhalt im Frame oder Inlineframe das XMLHttpRequest-Objekt aus JavaScript verwenden, um Daten auch aus Domänen zu laden, bei denen es sich nicht um die Domäne des Codes handelt, der die Anforderung aufruft:

<iframe id="UI" 
    src="http://example.com/ui.html" 
    sandboxRoot="http://example.com/" 
    allowcrossDomainxhr="true" 
    documentRoot="app:/"> 
</iframe>

Weitere Informationen finden Sie unter Skripterstellung zwischen Inhalten in unterschiedlichen Domänen .

HTML-Inhalte in Remote-Sandboxen (Netzwerk-Sandboxen) können nur CSS-, frame -, iframe - und img -Inhalt aus Remote-Sandboxen (von Netzwerk-URLs) laden.

HTML-Inhalt in „local-with-filesystem“-, „local-with-networking“- oder „local-trusted“-Sandboxen kann nur CSS-, frame -, iframe- und img-Inhalte aus lokalen Sandboxen (nicht aus der Anwendungs-Sandbox oder aus Remote-Sandboxen) laden.

Wenn ein Fenster, das über einen Aufruf der JavaScript-Methode window.open() erstellt wurde, Inhalt aus einer anwendungsfremden Sandbox anzeigt, beginnt der Titel des Fensters mit dem Titel des Hauptfensters (des aufrufenden Fensters), gefolgt von einem Doppelpunkt. Sie können diesen Teil des Fenstertitels nicht mithilfe von Code vom Bildschirm bewegen.

Inhalt in anwendungsfremden Sicherheits-Sandboxen kann die JavaScript-Methode window.open() nur als Antwort auf ein Ereignis, das durch eine Benutzerinteraktion mit Maus oder Tastatur ausgelöst wurde, erfolgreich aufrufen. Auf diese Weise wird verhindert, dass anwendungsfremder Inhalt Fenster erstellt, die möglicherweise in betrügerischer Absicht verwendet werden (zum Beispiel für Phishing-Angriffe). Außerdem kann die Ereignisprozedur für Maus- und Tastaturereignisse nicht festlegen, dass die window.open() -Methode mit Verzögerung ausgeführt wird (zum Beispiel durch Aufrufen der setTimeout() -Funktion).

Inhalt in Remote-Sandboxen (Netzwerk-Sandboxen) kann die window.open() -Methode nur verwenden, um Inhalt in Remote-Netzwerk-Sandboxen zu öffnen. Dieser Inhalt kann die window.open() -Methode nicht zum Öffnen von Inhalten in der Anwendungs-Sandbox oder in lokalen Sandboxen verwenden.

Inhalt in den Sandboxen „local-with-filesystem“, „local-with-networking“ oder „local-trusted“ (siehe Sicherheits-Sandboxen ) kann die window.open() -Methode nur zum Öffnen von Inhalten in lokalen Sandboxen verwenden. Dieser Inhalt kann die window.open() -Methode nicht zum Öffnen von Inhalten in der Anwendungs-Sandbox oder in Remote-Sandboxen verwenden.

Wenn Sie Code aufrufen, der aufgrund dieser Sicherheitsregeln in einer bestimmten Sandbox nicht verwendet werden darf, gibt die Laufzeitumgebung einen JavaScript-Fehler aus: "Adobe AIR-Laufzeitumgebung: Sicherheitsverletzung bei JavaScript-Code in der Sicherheits-Sandbox der Anwendung."

Weitere Informationen finden Sie unter Vermeiden von sicherheitsbezogenen JavaScript-Fehlern .