claviska/jquery-minicolors

Check for same origin before using window.top

Open

#239 aberto em 27 de dez. de 2017

Ver no GitHub
 (1 comment) (1 reaction) (0 assignees)JavaScript (322 forks)batch import
Help Wanted

Métricas do repositório

Stars
 (955 stars)
Métricas de merge de PR
 (Nenhuma PRs mesclada em 30d)

Description

With https://github.com/claviska/jquery-minicolors/pull/207 top.document should be used to attach the event handlers. When the top window is from a different origin (e.g. the site is embedded in an iframe from a different origin) then access to window.top (and therefore top.document) is prohibited by the browser. This leads to the following exception: image

Therefore access to window.top should be avoided or at least there should be a check if its safe to acces it (try catch?).

edit: I don't know why, but there is a commit that reverts the changes from https://github.com/claviska/jquery-minicolors/pull/207 see https://github.com/claviska/jquery-minicolors/commit/106c1988adc488a8b0aba4adb2a61e90de2abaa0 But its not already releaset so that the current released version still contains the access of window.top

Guia do colaborador

Direção de pesquisa
Examine o arquivo jquery.minicolors.js para o acesso a window.top.document. Consulte o PR #207 e o commit 106c1988 que reverteu a alteração. Implemente um try catch ou uma verificação de mesma origem para acessar top.document com segurança.
Pilha de tecnologia
javascript
Domain
frontendsecurity
Tipo Issue
Bug
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
2
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
Menos de 1 hora
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Antigo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
jQuery basicssame origin policy
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
75