claviska/jquery-minicolors

Check for same origin before using window.top

Open

#239 geöffnet am 27. Dez. 2017

Auf GitHub ansehen
 (1 Kommentar) (1 Reaktion) (0 zugewiesene Personen)JavaScript (322 Forks)batch import
Help Wanted

Repository-Metriken

Stars
 (955 Stars)
PR-Merge-Metriken
 (Keine gemergten PRs in 30 T)

Beschreibung

With https://github.com/claviska/jquery-minicolors/pull/207 top.document should be used to attach the event handlers. When the top window is from a different origin (e.g. the site is embedded in an iframe from a different origin) then access to window.top (and therefore top.document) is prohibited by the browser. This leads to the following exception: image

Therefore access to window.top should be avoided or at least there should be a check if its safe to acces it (try catch?).

edit: I don't know why, but there is a commit that reverts the changes from https://github.com/claviska/jquery-minicolors/pull/207 see https://github.com/claviska/jquery-minicolors/commit/106c1988adc488a8b0aba4adb2a61e90de2abaa0 But its not already releaset so that the current released version still contains the access of window.top

Contributor Guide

Research-Richtung
Untersuchen Sie die Datei jquery.minicolors.js auf den Zugriff auf window.top.document. Beziehen Sie sich auf PR #207 und den Commit 106c1988, der die Änderung rückgängig gemacht hat. Implementieren Sie einen try catch oder eine Same Origin Prüfung, um sicher auf top.document zuzugreifen.
Tech Stack
javascript
Domain
frontendsecurity
Issue Type
Fehler
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
2
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
Unter 1 Stunde
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
Veraltet
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
Klar
Voraussetzungen
jQuery basicssame origin policy
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
75