13

我相信我遇到了与在我的 C# 2008 WinForms 应用程序中使用带有 WebBrowser 控件的嵌入标签相关的安全问题。

这是我的代码:

private void button2_Click(object sender, EventArgs e)
{
    webBrowser1.Navigate("C:/page1.html");
}

private void button1_Click(object sender, EventArgs e)
{
    webBrowser1.Navigate("about:blank");
    Thread.Sleep(1000);
    webBrowser1.Document.Write("<html><body><p>Hello</p><embed src='C:/test.wmv' /></body></html>");
}

这是 page1.html 的内容:

<html><body><p>Hello</p><embed src='C:/test.wmv' /></body></html>

Button1 生成单词“Hello”。Button2 生成单词“Hello”,并在其下方嵌入电影播放器​​。

当我查看两个页面的源代码时,我注意到它们是相同的,除了源文件的名称。

这让我相信这与我的 IE 安全设​​置有关,但我注意到我为嵌入内容设置了完整权限。可能控件无法正确识别页面的来源,因此不允许使用 embed 标记。

我怎样才能以编程方式克服这个问题?我想避免将我的页面写入文件,并不惜一切代价导航到该文件。关于如何欺骗浏览器控件正常工作的任何建议?

第一编辑:

根据这篇文章Webbrowser Navigate Embedded Resource这将起作用,但我(JT)尝试过但没有:

System.IO.Stream stream = this.GetType().Assembly.GetManifestResourceStream("WindowsFormsApplication1.Properties.test.html");
webBrowser1.DocumentStream = stream;

重现问题时的奇怪行为:

webBrowser1.Navigate("about:blank");
do
{
Thread.Sleep(100);
} while (webBrowser1.IsBusy == true);

//Method 1. Doesn't work
string htmlString1 = File.ReadAllText("C:/page1.html");
webBrowser1.Document.Write(htmlString1);

//Method 2. Doesn't work
string htmlString2 = "<html><body><p>Hello</p><embed src='C:/test.wmv' /></body></html>";
webBrowser1.Document.Write(htmlString2);

//Method 3. DOES WORK
webBrowser1.Document.Write("<html><body><p>Hello</p><embed src='C:/test.wmv' /></body></html>");

编辑 2

下面是一个使用 JavaScript 创建的页面示例,没有真正的源文件,它在 IE 中显示嵌入式播放器:

<html><head>
<script language="JavaScript">
function go()
{
test1 = window.open("","","menubar=0,status=0,toolbar=0");
test1.document.writeln("<html><body><p>Hello</p><embed src='test.wmv' /></body></html>");
}
</script>
</head><body><h1 onclick="go()">click</h1></body></html>

这里唯一的区别是 IE 认为 HTML 的源是一个文件,尽管它是由“writeln”创建的。

虽然普遍认为 IE 不支持该标签,但它确实支持,并且有很多例子证明了这一点。在 IE 中尝试在 jsfiddle.net 上使用 IE 会产生嵌入式播放器,而在 FF中则不会

编辑 3

此问题与跨域安全有关。IE 的较新版本不仅拒绝允许对页面域进行任何更改,而且 WebBrowser 控件不允许您将文本写入已包含文本的文档。只有第一次调用 Document.Write 会做任何事情。不仅没有明显的方法来强制页面的域,也没有办法向具有设置域的页面写入任何新内容,因为执行任何写入所需的“openNew”打开:空白,默认为空域,如果尝试设置或获取,则会导致异常。

编辑 4

问题在于跨域安全恶作剧。See THIS IE8 决定 Document.Domain 不能被写入。即使它是可写的,您显然也永远无法在协议之间进行通信。所以“file://”协议和“about”协议不能通信,或者标签相互指向。以下是绊脚石:

  • 浏览器控件使用的 IE 版本无法对 Document.Domain 执行任何操作,即使使用 JavaScript 也不行。
  • 您无法读取 about:blank 的域。
  • 您无法加载具有正确域的页面,并期望使用 Document.Write 将 HTML 写入其中,因为您必须在使用 Document.Write 之前调用 Document.OpenNew。
  • 您不能使用 WebBrowser.DocumentText = 修改 DocumentText, 因为每次导航只能设置一次 DocumentText。这就像其他一些安全的事情

总之,说您对 WebBrowser 控件的安全性没有任何额外控制就足够了,可能比您对某些 JavaScript 生成的页面的控制更少(因为这些页面共享启动脚本的域)。

感谢您对我的努力的投票/支持,但看起来我每次想更改浏览器控件中的内容时都会放弃并写一个页面到文件中。呸。

4

3 回答 3

2

问题在于跨域安全恶作剧。See THIS IE8 决定 Document.Domain 不能被写入。即使它是可写的,您显然也永远无法在协议之间进行通信。所以“file://”协议和“about”协议不能通信,或者标签相互指向。以下是绊脚石:

  • 浏览器控件使用的 IE 版本无法对 Document.Domain 执行任何操作,即使使用 JavaScript 也不行。
  • 您无法读取 about:blank 的域。
  • 您无法加载具有正确域的页面,并期望使用 Document.Write 将 HTML 写入其中,因为您必须在使用 Document.Write 之前调用 Document.OpenNew。
  • 您不能使用 WebBrowser.DocumentText = 修改 DocumentText, 因为每次导航只能设置一次 DocumentText。这就像其他一些安全的事情

总之,说您对 WebBrowser 控件的安全性没有任何额外控制就足够了,可能比您对某些 JavaScript 生成的页面的控制更少(因为这些页面共享启动脚本的域)。

感谢您对我的努力的投票/支持,但看起来我每次想更改浏览器控件中的内容时都会放弃并写一个页面到文件中。呸。

于 2012-06-17T02:36:28.650 回答
1

这就是为什么:

http://msdn.microsoft.com/en-us/library/windows/desktop/dd562847(v=vs.85).aspx

前面的示例在 Firefox 中有效,但在 Internet Explorer 中无效。要将 Player 控件嵌入到 Internet Explorer 可以显示的网页中,您必须创建一个 OBJECT 元素,该元素的 classid 属性设置为 Windows Media Player 控件的类 ID。以下示例说明如何将 Windows Media Player 控件嵌入到 Internet Explorer 和 Firefox 都可以正确显示的网页中。页面上的脚本检测浏览器类型并生成适当的 OBJECT 标记。

为了您的方便,这里是:

private void button3_Click(object sender, EventArgs e)
{
    webBrowser1.Navigate("about:blank");
    do
    {
        Thread.Sleep(100);
    } while (webBrowser1.IsBusy == true);

    string htmlString1 = File.ReadAllText("C:/test.html");
    webBrowser1.Document.Write(htmlString1);
    return;
}

Test.html 的内容:

<OBJECT id="VIDEO" width="320" height="240" 
    style="position:absolute; left:0;top:0;"
    CLASSID="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6"
    type="application/x-oleobject">

    <PARAM NAME="URL" VALUE="c:\test.wmv">
    <PARAM NAME="SendPlayStateChangeEvents" VALUE="True">
    <PARAM NAME="AutoStart" VALUE="True">
    <PARAM name="uiMode" value="none">
    <PARAM name="PlayCount" value="9999">
</OBJECT>
于 2012-06-10T06:07:47.623 回答
1

@GorchestopherH 听到结果真可惜。您可能希望将第 4 次编辑作为答案 - 完全放弃 50 分赏金将是一种耻辱。

另一种解决方案是另一个网络浏览器控件:http ://code.google.com/p/geckofx/

使用 GeckoFX 在 C# 中嵌入 Firefox 浏览器

于 2012-06-17T02:19:44.353 回答