logoblog.kubarek.info

Beznadziejny bug w Mozilla Firefox/Chrome

Mam pewien program generujący pliki xml w określonej strukturze katalogów. Jednego dnia może wygenerować się wiele plików dlatego struktura wygląda racjonalnie (w uproszczeniu): katalog Y-m-d, a pliki H-i-s.xml. Jako, że przeglądanie plików xml było dość niewygodne, postanowiłem napisać do tego plik XSL, który wygenerowałby mi ładny dokumencik. Co zatem uczyniłem.

Gdzie umieścić ten plik? Rzeczą oczywistą jest, że w katalogu nadrzędnym do plików xml. W końcu nie będę jednego i tego samego pliku powielał wiele razy w katalogach oznaczających dni. Czyli ścieżka do XSL w pliku XML wygląda tak: ../plik.xsl.

Co się okazało? Pod IE ładnie się dokumencik wyświetla, co prawda, z powodu silnika nie taki jak być powinien, ale generalnie działa, a o to mi chodziło. Pod Operą działa.

Sprawdzam pod Firefoxem. Nie działa. Chrome także nie zachowuje się poprawnie. Szlag! Przeszukałem po necie, w google proste zapytanie i oto co widzę.

Z powodu durnych i bzdurnych reguł bezpieczeństwa. Co prawda, artykuł dotyczy plików JS, ale idea jest głupia. Plik JS znajdujący się w tym samym katalogu jest "bezpieczny". Plik JS znajdujący się w katalogu .. jest już "niebezpieczny". Czy to samo dotyczy XSL? Nie wiem, ale podejrzewam, że tak.

Chore, no ale cóż robić :) Do głupot developerów można się tylko przyzwyczaić.

Komentarze do notki 'Beznadziejny bug w Mozilla Firefox/Chrome'

  1. 10 grudnia 2010
    18:02:57     1. Foo powiedział(a):

    Plik JS znajdujący się w katalogu .. jest już "niebezpieczny".

    Niezrozumiałeś, chodzi o to aby sciagnie strony (czyt. javascripty) nie miały dostępu do np. ~/.gg/config lub dowolnie innego pliku znajdującego się na dysku twardym (bo jak mają to mogą je sobie wysłać gdzie chcą)

    A jak się nie pdooba opcja to zmieniasz security.fileuri.strictoriginpolicy na false i działa. http://kb.mozillazine.org/Security.fileuri.strictoriginpolicy
    Więc chyba nie taki duży prtoblem?

  2. 11 grudnia 2010
    19:56:14     2. kubarek powiedział(a):

    Foo: dzięki za radę. Myślę, że patrząc na to z tej strony, też możesz mieć rację. Tylko dlaczego takie obostrzenia dotyczą też plików XSL? A po drugie, dlaczego zamiast po prostu jakiegoś pytania w stylu "czy chcesz uruchamiać skrypty?",postanowili wylać dziecko z kąpielą i zablokować wszystko? :)

  3. 11 grudnia 2010
    23:51:15     3. Adriano powiedział(a):

    Chrome przez bardzo długi czas pozwalał swobodnie przeglądać dysk.
    Kiedyś napisałem nawet skrypt który wykradał (w moim przypadku tylko wyświetlał) hasła do kont FTP z programu Filezilla (kto wpadł na pomysł aby tak przechowywać takie dane..?).

    Nie chciałbym aby byle readme.html był zdolny do takich rzeczy.

    Chrome się poprawił (przy okazji Filezilla też).

Dodaj komentarz: