仅在FireFox上抛出XSS异常18

我有一些代码可以在Chrome，Safari，IE和Opera上正常工作。但对于只火狐18某种原因，我得到这个问题仅在FireFox上抛出XSS异常18

错误：权限被拒绝访问属性“文件” [打破这个错误]

window.opener.document.getElementById（“creditsTotal”）。 innerText =学分;

这里是有问题的代码（记住只有FF18抛出这个XSS错误）

chat_client.rtmp.update_chat_status = function(){ 
      //console.log("The overridden method has been called."); 
      if (!this.chat.current_chat_user) 
       return; 

      this.log("Updating chat session."); 
      $.ajax({ 
       url: "{% url parthenon_chat.rtmp.views.update_chat_session %}", 
       type: 'POST', 
       data: { 
        'session_id': this.chat.session_ids[this.chat.current_chat_user], 
        'csrfmiddlewaretoken': CSRF_TOKEN 
       }, 
       success: function(credits) { 


        //make sure that credits var is integer and non-negative 
        var intRegex = /^\d+$/; 
        if(intRegex.test(credits)) { 
         console.log("Credits remaining: " + credits); 
         window.opener.document.getElementById("creditsTotal").innerText = credits; 
        } 

       } 
      });

有什么想法？我还没有尝试使用旧版本的ff18来查看是否会得到相同的XSS异常。

来源

2013-02-05 cliffbarnes

和'url：“{％url parthenon_chat.rtmp.views.update_chat_session％}”'看起来像什么？ – epascarello

它与父窗口位于同一个域中。就像这样：http://10.0.0.2/chat/conversation/?queue=8dcf98eb37182f64a87c6180c641b0b659f4e78cfa58472de55e37a2f63b7427&session_id=177&通过AJAX获取数据没有问题...问题是更新父窗口从这个窗口的产生与ajax -gotten data – cliffbarnes

XSS是一种攻击媒介，不是一种错误。 –

安全异常似乎是由聊天应用将端口从子页面切换到父页面的原因，即使它位于同一个域中。解决方案是使用html5 spec 10.4，并在子窗口和父窗口两者上重新编写javascript。这里是解决这个XSS例外获取当前的WHATWG规格：http://www.whatwg.org/specs/web-apps/current-work/multipage/web-messaging.html#web-messaging

来源

2013-02-06 15:24:50 cliffbarnes

你知道这不会在Internet Explorer中运行，它只有在caniuse.com

部分看到这个：http://caniuse.com/#feat=x-doc-messaging

你有有一个回落，即

来源

2013-02-18 17:22:08

你是对的。我没有在这里检查。谢谢！ – cliffbarnes

仅在FireFox上抛出XSS异常18

回答

相关问题