Zabezpieczenia HTML w środowisku Adobe AIR

Środowisko AIR dodaje atrybuty sandboxRoot i documentRoot do elementów ramek i ramek pływających HTML. Te atrybuty umożliwiają traktowanie treści aplikacji w taki sposób, jakby pochodziła z innej domeny:

Poniższy przykład odwzorowuje treść zainstalowaną w podkatalogu sandbox aplikacji w celu uruchomienia w zdalnym obszarze izolowanym oraz domenie www.example.com:

<iframe 
    src="ui.html"  
    sandboxRoot="http://www.example.com/local/"  
    documentRoot="app:/sandbox/"> 
</iframe>

Środowisko AIR dodaje właściwości childSandboxBridge i parentSandboxBridge do obiektu window dowolnej ramki podrzędnej. Te właściwości umożliwiają definiowanie mostów, które służą jako połączenia między ramką podrzędną i nadrzędną. Każdy most jest jednokierunkowy:

childSandboxBridge — właściwość childSandboxBridge umożliwia ramce podrzędnej zaprezentowanie interfejsu do treści ramki nadrzędnej. W celu zaprezentowania interfejsu należy ustawić dla właściwości childSandbox funkcję lub obiekt ramki podrzędnej. Następnie można uzyskać dostęp do obiektu lub funkcji z treści ramki nadrzędnej. Poniższy przykład przedstawia, w jaki sposób skrypt uruchomiony w ramce podrzędnej może prezentować obiekt zawierający funkcję i właściwość dla jej obiektu nadrzędnego:

var interface = {}; 
interface.calculatePrice = function(){ 
    return .45 + 1.20; 
} 
interface.storeID = "abc" 
window.childSandboxBridge = interface;

Jeśli treść podrzędna znajduje się w ramce pływającej, do której przypisano id "child" , wówczas można uzyskać dostęp do interfejsu z treści nadrzędnej poprzez odczytanie właściwości childSandboxBridge ramki:

var childInterface = document.getElementById("child").childSandboxBridge; 
air.trace(childInterface.calculatePrice()); //traces "1.65" 
air.trace(childInterface.storeID)); //traces "abc"

parentSandboxBridge — właściwość parentSandboxBridge umożliwia ramce nadrzędnej zaprezentowanie interfejsu do treści ramki podrzędnej. W celu zaprezentowania interfejsu należy ustawić właściwość parentSandbox ramki podrzędnej na funkcję lub obiekt ramki nadrzędnej. Następnie można uzyskać dostęp do obiektu lub funkcji z treści ramki podrzędnej. Poniższy przykład przedstawia, w jaki sposób skrypt uruchomiony w ramce nadrzędnej może prezentować obiekt zawierający funkcję zapisu obiektowi podrzędnemu:

var interface = {}; 
interface.save = function(text){ 
    var saveFile = air.File("app-storage:/save.txt"); 
    //write text to file 
} 
document.getElementById("child").parentSandboxBridge = interface;

Za pomocą tego interfejsu treść ramki podrzędnej może zapisywać tekst do pliku o nazwie save.txt. Jednak treść nie będzie miała dostępu do systemu plików. W przypadku ogólnym treść aplikacji powinna prezentować innym obszarom izolowanym interfejs o najmniejszych ograniczeniach. Zawartość elementu potomnego może wywołać funkcję save w następujący sposób:

var textToSave = "A string."; 
window.parentSandboxBridge.save(textToSave);

Jeśli treść elementu podrzędnego podejmie próbę ustawienia właściwości obiektu parentSandboxBridge , wówczas środowisko wykonawcze zgłasza wyjątek SecurityError. Jeśli treść elementu nadrzędnego podejmie próbę ustawienia właściwości obiektu childSandboxBridge , wówczas środowisko wykonawcze zgłasza wyjątek SecurityError.

Dla treści HTML w bezpiecznym obszarze izolowanym aplikacji obowiązują ograniczenia dotyczące korzystania z interfejsów API, które mogą dynamicznie przekształcać ciągi znaków na kod wykonywalny — po załadowaniu kodu (po wywołaniu zdarzenia onload elementu body oraz po zakończeniu działania funkcji modułu obsługi onload ). Takie rozwiązanie zapobiega przypadkowemu wstrzyknięciu i wykonaniu kodu ze źródeł nieaplikacyjnych (np. potencjalnie niebezpiecznych domen sieciowych).

Na przykład: jeśli aplikacja korzysta z danych w postaci ciągu znaków ze źródła zdalnego w celu zapisywania we właściwości innerHTML elementu DOM, wówczas ciąg znaków może zawierać kod wykonywalny(JavaScript), który może wykonywać niebezpieczne operacje. Jednak podczas ładowania treści nie ma zagrożeń związanych z wstawianiem zdalnych ciągów znaków do elementu DOM.

Jedno ograniczenie dotyczy korzystania z funkcji eval() JavaScript. Po załadowaniu kodu do obszaru izolowanego aplikacji i przetworzeniu modułu obsługi zdarzenia onload możliwe jest korzystanie z funkcji eval() w ograniczonym zakresie. Poniższe reguły dotyczą stosowania funkcji eval() po załadowaniu kodu z obszaru izolowanego aplikacji:

• Dozwolone są wyjątki obejmujące literały. Na przykład:

  eval("null"); 
  eval("3 + .14"); 
  eval("'foo'");

• Dozwolone są literały obiektów, jak poniżej:

  { prop1: val1, prop2: val2 }

• Stosowanie literałów obiektów set/get jest zabronione , jak poniżej:

  { get prop1() { ... }, set prop1(v) { ... } }

• Dozwolone są literały tablic, jak poniżej:

  [ val1, val2, val3 ]

• Wyrażenia zawierające odczyty właściwości są zabronione , jak poniżej:

  a.b.c

• Wywołanie funkcji jest zabronione .

• Definicje funkcji są zabronione .

• Ustawienie właściwości jest zabronione .

• Literały funkcji są zabronione .

Jednak podczas ładowania kodu przed zdarzeniem onload oraz podczas działania funkcji modułu obsługi zdarzeń onload te ograniczenia nie dotyczą treści bezpiecznego obszaru izolowanego aplikacji.

Na przykład: po załadowaniu kodu wykonanie poniższego kodu powoduje wyjątek w środowisku wykonawczym:

eval("alert(44)"); 
eval("myFunction(44)"); 
eval("NativeApplication.applicationID");

Kod wygenerowany dynamicznie, np. podczas wywoływania funkcji eval() może spowodować zagrożenie, jeśli uzyska dostęp do obszaru izolowanego aplikacji. Przykład: aplikacja może przypadkowo wykonać ciąg znaków załadowany z domeny sieciowej, a ten ciąg znaków może zawierać złośliwy kod. Może to być na przykład kod, który spowoduje usunięcie lub modyfikację plików w komputerze. Lub może to być kod, który będzie zgłaszał treść pliku lokalnego do niezaufanej domeny sieciowej.

Sposoby dynamicznego generowania kodu:

• Wywołanie funkcji eval() .

• Użycie właściwości innerHTML lub funkcji DOM w celu wstawienia znaczników script, które powodują ładowanie skryptu poza katalogiem aplikacji.

• Użycie właściwości innerHTML lub funkcji DOM w celu wstawienia znaczników script zawierających kod wbudowany (zamiast ładowania skryptu za pomocą atrybutu src ).

• Ustawienie atrybutu src dla znaczników script w celu załadowania pliku JavaScript, który znajduje się na zewnątrz katalogu aplikacji.

• Użycie schematu URL javascript (jak w href="javascript:alert('Test')" ).

• Użycie funkcji setInterval() lub setTimout() , w której pierwszy parametr (definiujący funkcję, która działa asynchronicznie) jest ciągiem znaków (wartość wynikowa), a nie nazwą funkcji (jak w przykładzie: setTimeout('x = 4', 1000) ).

• Wywołanie metody document.write() lub document.writeln() .

Kod w obszarze izolowanym aplikacji może korzystać z tych metod tylko podczas ładowania treści.

Te ograniczenia nie zapobiegają stosowania funkcji eval() z literałami obiektów JSON. Dzięki temu treść aplikacji może pracować z biblioteką JavaScript JSON. Niedozwolone jest natomiast korzystanie z przeciążonego kodu JSON (z podprogramami obsługi zdarzeń).

W przypadku innych struktur Ajax i bibliotek kodu JavaScript należy upewnić się, czy kod w strukturze lub bibliotece działa zgodnie z tymi samymi ograniczeniami, które dotyczą kodu generowanego w sposób dynamiczny. Jeśli nie, należy dołączyć treść, która korzysta ze struktury lub biblioteki, do nieaplikacyjnego obszaru izolowanego. Szczegółowe informacje zawierają rozdziały Ograniczenia obowiązujące dla kodu JavaScript w środowisku AIR oraz Treść aplikacyjna i nieaplikacyjna odwołująca się do skryptów . Firma Adobe udostępnia listę środowisk Ajax, które obsługują bezpieczne obszary izolowane aplikacji, na stronie http://www.adobe.com/products/air/develop/ajax/features/ .

Treść JavaScript — w odróżnieniu od treści obszaru izolowanego aplikacji — w nieaplikacyjnym obszarze izolowanym może wywoływać funkcję eval() w celu wykonywania kodu wygenerowanego w sposób dynamiczny w dowolnym czasie.

Kod JavaScript w nieaplikacyjnym obszarze izolowanym nie ma dostępu do obiektu window.runtime i dlatego kod nie może uruchamiać interfejsów API AIR. Jeśli treść nieaplikacyjnego obszaru izolowanego wywoła poniższy kod, aplikacja zgłosi wyjątek TypeError:

try { 
    window.runtime.flash.system.NativeApplication.nativeApplication.exit(); 
}  
catch (e)  
{ 
    alert(e); 
}

Wyjątek ma typ TypeError (wartość niezdefiniowana), ponieważ treść nieaplikacyjnego obszaru izolowanego nie rozpoznaje obiektu window.runtime , dlatego jest on widoczny jako wartość niezdefiniowana.

Za pośrednictwem mostu można zaprezentować funkcje środowiska wykonawczego dla treści nieaplikacyjnego obszaru izolowanego. Szczegółowe informacje zawiera rozdział Treść aplikacyjna i nieaplikacyjna odwołująca się do skryptów .

Treść HTML w obszarze izolowanym aplikacji nie może korzystać z synchronicznych metod XMLHttpRequest w celu ładowania danych spoza obszaru izolowanego aplikacji podczas ładowania treści HTML oraz podczas zdarzenia onLoad .

Domyślnie treść HTML w nieaplikacyjnych obszarach izolowanych nie ma możliwości korzystania z obiektu XMLHttpRequest JavaScript w celu ładowania danych z domen innych niż domena wywołująca żądanie. Znacznik frame lub iframe może zawierać atrybut allowcrosscomainxhr . Ustawienie tego atrybutu na wartość inną niż null umożliwia zawartości obiektu Frame lub iFrame korzystanie z obiektu XMLHttpRequest języka JavaScript w celu wczytywania danych z domen innych niż domena kodu wywołującego żądanie.

<iframe id="UI" 
    src="http://example.com/ui.html" 
    sandboxRoot="http://example.com/" 
    allowcrossDomainxhr="true" 
    documentRoot="app:/"> 
</iframe>

Więcej informacji zawiera sekcja Treść odwołująca się do skryptów w różnych domenach .

Treść HTML w zdalnych (sieciowych) obszarach izolowanych może ładować tylko treść CSS, frame , iframe i img ze zdalnych obszarów izolowanych (z sieciowych adresów URL).

Treść HTML w lokalnym obszarze izolowanym z systemem plików, lokalnym obszarze izolowanym z obsługą sieci lub lokalnym zaufanym obszarze izolowanym może ładować tylko treść CSS, ramek, ramek pływających i img z lokalnych obszarów izolowanych (nie z aplikacyjnych ani zdalnych obszarów izolowanych).

Jeśli okno utworzone poprzez wywołanie metody window.open() JavaScript wyświetla treść nieaplikacyjnego obszaru izolowanego, wówczas tytuł okna rozpoczyna się od tytułu głównego okna (uruchamiania), po którym następuje znak dwukropka. Za pomocą kodu nie można przesunąć tej części tytułu okna poza ekran.

Treść nieaplikacyjnych obszarów izolowanych może wywoływać z powodzeniem metodę window.open() JavaScript w odpowiedzi na zdarzenie wywołane przez interakcję z myszą lub klawiaturą. Dzięki temu treść nieaplikacyjna nie może tworzyć okien, które mogłyby zostać wykorzystane oszukańczo (np. w atakach typu phishing). Ponadto moduł obsługi zdarzeń myszy lub klawiatury nie może ustawiać wykonywania metody window.open() po opóźnieniu (np. poprzez wywołanie funkcji setTimeout() ).

Treść w zdalnych (sieciowych) obszarach izolowanych może korzystać z metody window.open() wyłącznie w celu otwierania treści w zdalnych (sieciowych) obszarach izolowanych. Nie może korzystać z metody window.open() w celu otwierania treści z obszarów izolowanych aplikacji lub lokalnych obszarów izolowanych.

Treść lokalnych obszarów izolowanych z systemem plików, lokalnych obszarów izolowanych z obsługą sieci i lokalnych zaufanych obszarów izolowanych (patrz Obszary izolowane ) może korzystać z metody window.open() tylko w celu otwierania treści w lokalnych obszarach izolowanych. Nie może korzystać z metody window.open() w celu otwierania treści obszarów izolowanych aplikacji ani zdalnych obszarów izolowanych.

Jeśli wywołany zostanie kod, którego użycie zostało ograniczone ze względu na ograniczenia bezpieczeństwa, środowisko wykonawcze zgłosi błąd JavaScript: „Naruszenie zabezpieczeń środowiska wykonawczego Adobe AIR dla kodu JavaScript w obszarze izolowanym zabezpieczeń aplikacji”.

Więcej informacji zawiera sekcja Unikanie błędów JavaScript związanych z zabezpieczeniami .