claviska/jquery-minicolors

Check for same origin before using window.top

Open

#239 aperta il 27 dic 2017

Vedi su GitHub
 (1 commento) (1 reazione) (0 assegnatari)JavaScript (322 fork)batch import
Help Wanted

Metriche repository

Star
 (955 star)
Metriche merge PR
 (Nessuna PR mergiata in 30 g)

Descrizione

With https://github.com/claviska/jquery-minicolors/pull/207 top.document should be used to attach the event handlers. When the top window is from a different origin (e.g. the site is embedded in an iframe from a different origin) then access to window.top (and therefore top.document) is prohibited by the browser. This leads to the following exception: image

Therefore access to window.top should be avoided or at least there should be a check if its safe to acces it (try catch?).

edit: I don't know why, but there is a commit that reverts the changes from https://github.com/claviska/jquery-minicolors/pull/207 see https://github.com/claviska/jquery-minicolors/commit/106c1988adc488a8b0aba4adb2a61e90de2abaa0 But its not already releaset so that the current released version still contains the access of window.top

Guida contributor

Direzione di ricerca
Esamina il file jquery.minicolors.js per l'accesso a window.top.document. Fai riferimento alla PR #207 e al commit 106c1988 che ha annullato la modifica. Implementa un try catch o un controllo di same origin per accedere in modo sicuro a top.document.
Tech stack
javascript
Dominio
frontendsecurity
Tipo issue
Bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
2
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
Meno di 1 ora
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
jQuery basicssame origin policy
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
75