僅在FireFox上拋出XSS異常18

我有一些代碼可以在Chrome，Safari，IE和Opera上正常工作。但對於只火狐18某種原因，我得到這個問題僅在FireFox上拋出XSS異常18

錯誤：權限被拒絕訪問屬性「文件」 [打破這個錯誤]

window.opener.document.getElementById（「creditsTotal」）。 innerText =學分;

這裏是有問題的代碼（記住只有FF18拋出這個XSS錯誤）

chat_client.rtmp.update_chat_status = function(){ 
      //console.log("The overridden method has been called."); 
      if (!this.chat.current_chat_user) 
       return; 

      this.log("Updating chat session."); 
      $.ajax({ 
       url: "{% url parthenon_chat.rtmp.views.update_chat_session %}", 
       type: 'POST', 
       data: { 
        'session_id': this.chat.session_ids[this.chat.current_chat_user], 
        'csrfmiddlewaretoken': CSRF_TOKEN 
       }, 
       success: function(credits) { 


        //make sure that credits var is integer and non-negative 
        var intRegex = /^\d+$/; 
        if(intRegex.test(credits)) { 
         console.log("Credits remaining: " + credits); 
         window.opener.document.getElementById("creditsTotal").innerText = credits; 
        } 

       } 
      });

有什麼想法？我還沒有嘗試使用舊版本的ff18來查看是否會得到相同的XSS異常。

來源

2013-02-05 cliffbarnes

和'url：「{％url parthenon_chat.rtmp.views.update_chat_session％}」'看起來像什麼？ – epascarello

它與父窗口位於同一個域中。就像這樣：http://10.0.0.2/chat/conversation/?queue=8dcf98eb37182f64a87c6180c641b0b659f4e78cfa58472de55e37a2f63b7427&session_id=177&通過AJAX獲取數據沒有問題...問題是更新父窗口從這個窗口的產生與ajax -gotten data – cliffbarnes

XSS是一種攻擊媒介，不是一種錯誤。 –

安全異常似乎是由聊天應用將端口從子頁面切換到父頁面的原因，即使它位於同一個域中。解決方案是使用html5 spec 10.4，並在子窗口和父窗口兩者上重新編寫javascript。這裏是解決這個XSS例外獲取當前的WHATWG規格：http://www.whatwg.org/specs/web-apps/current-work/multipage/web-messaging.html#web-messaging

來源

2013-02-06 15:24:50 cliffbarnes

你知道這不會在Internet Explorer中運行，它只有在caniuse.com

部分看到這個：http://caniuse.com/#feat=x-doc-messaging

你有有一個回落，即

來源

2013-02-18 17:22:08

你是對的。我沒有在這裏檢查。謝謝！ – cliffbarnes

僅在FireFox上拋出XSS異常18

回答

相關問題