مدل امنیتی Chrome Apps محتوای خارجی در iframe و استفاده از اسکریپتهای درون خطی و eval() را ممنوع میکند. میتوانید این محدودیتها را لغو کنید، اما محتوای خارجی شما باید از برنامه جدا باشد.
محتوای ایزوله نمیتواند مستقیماً به دادههای برنامه یا هر یک از APIها دسترسی داشته باشد. از XMLHttpRequests و پیامرسانی متقاطع برای برقراری ارتباط بین صفحه رویداد و محتوای جعبهپشتی و دسترسی غیرمستقیم به APIها استفاده کنید.
ارجاع به منابع خارجی
خطمشی امنیت محتوای مورد استفاده برنامهها استفاده از انواع نشانیهای اینترنتی راه دور را مجاز نمیداند، بنابراین نمیتوانید مستقیماً به تصاویر خارجی، شیوه نامهها یا فونتهای صفحه برنامه ارجاع دهید. در عوض، میتوانید از XMLHttpRequestهای متقاطع برای واکشی این منابع استفاده کنید، و سپس آنها را از طریق URLهای blob: ارائه کنید.
نیاز آشکار
برای اینکه بتوانید XMLHttpRequests با منبع متقاطع انجام دهید، باید یک مجوز برای میزبان URL راه دور اضافه کنید:
"permissions": [
"...",
"https://supersweetdomainbutnotcspfriendly.com/"
]
XMLHttpRequest متقاطع
URL راه دور را در برنامه واکشی کنید و محتویات آن را به عنوان یک blob: URL:
var xhr = new XMLHttpRequest();
xhr.open('GET', 'https://supersweetdomainbutnotcspfriendly.com/image.png', true);
xhr.responseType = 'blob';
xhr.onload = function(e) {
var img = document.createElement('img');
img.src = window.URL.createObjectURL(this.response);
document.body.appendChild(img);
};
xhr.send();
ممکن است بخواهید این منابع را به صورت محلی ذخیره کنید تا به صورت آفلاین در دسترس باشند.
صفحات وب خارجی را جاسازی کنید
برچسب webview به شما امکان می دهد محتوای وب خارجی را در برنامه خود جاسازی کنید، به عنوان مثال، یک صفحه وب. جایگزین iframe هایی می شود که به URL های راه دور اشاره می کنند که در داخل برنامه های Chrome غیرفعال شده اند. برخلاف iframes، تگ webview در یک فرآیند جداگانه اجرا می شود. این بدان معنی است که یک اکسپلویت در داخل آن همچنان ایزوله خواهد بود و نمی تواند امتیازات بالایی را به دست آورد. علاوه بر این، از آنجایی که ذخیره سازی آن (کوکی ها و غیره) از برنامه جدا شده است، هیچ راهی برای دسترسی محتوای وب به هیچ یک از داده های برنامه وجود ندارد.
عنصر مشاهده وب را اضافه کنید
عنصر webview شما باید شامل URL محتوای منبع باشد و ابعاد آن را مشخص کند.
<webview src="http://news.google.com/" width="640" height="480"></webview>
به روز رسانی خواص
برای تغییر پویا ویژگیهای src ، width و height تگ webview ، میتوانید آن ویژگیها را مستقیماً روی شی جاوا اسکریپت تنظیم کنید یا از تابع setAttribute DOM استفاده کنید.
document.querySelector('#mywebview').src =
'http://blog.chromium.org/';
// or
document.querySelector('#mywebview').setAttribute(
'src', 'http://blog.chromium.org/');
محتوای محلی سندباکس
Sandboxing به صفحات مشخص شده اجازه می دهد تا در یک منبع منحصر به فرد جعبه شنی ارائه شوند. سپس این صفحات از خط مشی امنیتی محتوای خود مستثنی هستند. صفحات Sandbox می توانند از iframe، اسکریپت درون خطی و eval() استفاده کنند. شرح فیلد مانیفست را برای جعبه ایمنی بررسی کنید.
اگرچه این یک معامله است: صفحات sandbox نمیتوانند از کروم استفاده کنند.* APIها. اگر نیاز به انجام کارهایی مانند eval() دارید، به این مسیر بروید تا از CSP معاف شوید، اما نمیتوانید از چیزهای جالب جدید استفاده کنید.
از اسکریپت های درون خطی در جعبه شنی استفاده کنید
در اینجا یک صفحه sandboxed نمونه است که از یک اسکریپت درون خطی و eval() استفاده می کند:
<html>
<body>
<h1>Woot</h1>
<script>
eval('console.log(\'I am an eval-ed inline script.\')');
</script>
</body>
</html>
جعبه ایمنی را در مانیفست قرار دهید
باید فیلد sandbox را در مانیفست قرار دهید و صفحات برنامه را که باید در جعبه ایمنی ارائه شوند فهرست کنید:
"sandbox": {
"pages": ["sandboxed.html"]
}
باز کردن یک صفحه sandbox در یک پنجره
درست مانند سایر صفحات برنامه، میتوانید پنجرهای ایجاد کنید که صفحه sandbox در آن باز میشود. در اینجا نمونهای وجود دارد که دو پنجره ایجاد میکند، یکی برای پنجره اصلی برنامه که sandbox نشده است و دیگری برای صفحه sandboxed:
chrome.app.runtime.onLaunched.addListener(function() {
chrome.app.window.create('window.html', {
'bounds': {
'width': 400,
'height': 400,
'left': 0,
'top': 0
}
});
chrome.app.window.create('sandboxed.html', {
'bounds': {
'width': 400,
'height': 400,
'left': 400,
'top': 0
}
});
});
جاسازی یک صفحه sandbox در صفحه برنامه
صفحات Sandboxed را نیز می توان با استفاده از iframe در صفحه برنامه دیگری جاسازی کرد:
<!DOCTYPE html>
<html>
<head>
</head>
<body>
<p>I am normal app window.</p>
<iframe src="sandboxed.html" width="300" height="200"></iframe>
</body>
</html>
ارسال پیام به صفحات سندباکس
دو بخش برای ارسال پیام وجود دارد: شما باید پیامی را از صفحه/پنجره فرستنده ارسال کنید، و به پیام ها در صفحه/پنجره دریافت کننده گوش دهید.
ارسال پیام
می توانید از postMessage برای برقراری ارتباط بین برنامه خود و محتوای جعبه شنی استفاده کنید. در اینجا یک نمونه اسکریپت پسزمینه است که پیامی را به صفحه sandbox که باز میکند ارسال میکند:
var myWin = null;
chrome.app.runtime.onLaunched.addListener(function() {
chrome.app.window.create('sandboxed.html', {
'bounds': {
'width': 400,
'height': 400
}
}, function(win) {
myWin = win;
myWin.contentWindow.postMessage('Just wanted to say hey.', '*');
});
});
به طور کلی در وب، شما می خواهید مبدأ دقیقی که پیام از کجا ارسال می شود را مشخص کنید. برنامههای Chrome به مبدأ منحصربهفرد محتوای جعبه ایمنی دسترسی ندارند، بنابراین شما فقط میتوانید همه مبداها را به عنوان مبداهای قابل قبول فهرست کنید ('*'). در انتهای دریافت، شما به طور کلی می خواهید مبدا را بررسی کنید. اما از آنجایی که محتوای Chrome Apps موجود است، ضروری نیست. برای کسب اطلاعات بیشتر، به window.postMessage مراجعه کنید.
برای پیام گوش دهید و پاسخ دهید
در اینجا یک نمونه گیرنده پیام است که به صفحه sandbox شما اضافه می شود:
var messageHandler = function(event) {
console.log('Background script says hello.', event.data);
// Send a reply
event.source.postMessage(
{'reply': 'Sandbox received: ' + event.data}, event.origin);
};
window.addEventListener('message', messageHandler);
برای جزئیات بیشتر، نمونه سندباکس را بررسی کنید.