1

我正在编写一个 FireFox 插件,它将我的服务器中的网页显示为控制和信息面板。这些面板是在常规 URL 中编写和工作的,但是当我尝试通过自定义协议访问它们时(所以它就像:,只是 myplugin:settings)每个 XMLHttpRequest 都返回空白,就好像我在做 XSS 的东西一样。我知道数据正在通过 - 请求是有效的,被服务器接受,并且 tcpdump 说他们正在将它发送到我的机器上。显然,它与自定义协议实现有关,所以这里是相关部分:

    newURI: function(spec, charset, baseURI)
    {
        var uri = Components.classes[@"mozilla.org/network/simple-uri;1"].createInstance(nsIURI);

        if (baseURI) {
            spec = "myplugin:" + spec;
        }

        uri.spec = spec;

        return(uri);
    },

    newChannel: function(aURI)
    {
        var incomingURI = aURI.spec;
        var purpose = incomingURI.substring(incomingURI.indexOf(":") + 1, incomingURI.length);
        var my_spec;
        var my_uri;
        var proto;

 var api_scheme = "http";
 var api_host = "myapi.myserver.com";
 var api_token = "temp";

        purpose = encodeURI(purpose);

        if(purpose.match(/^\//)) // If it begins with a "/" (relative URL)
            if(purpose.match(/\?/)) // It already contains a query string
                my_spec = api_scheme + "://" + api_host + purpose + "&api_token=" + api_token;
            else
                my_spec = api_scheme + "://" + api_host + purpose + "?api_token=" + api_token;
        else
            my_spec = api_scheme + "://" + api_host + "/frontend/" + purpose + "?api_token=" + api_token;

        my_uri = Components.classes[@mozilla.org/network/simple-uri;1].createInstance(nsIURI);
        my_uri.spec = my_spec;
        proto = Components.classes["@mozilla.org/network/protocol;1?name="+api_scheme].getService(nsIProtocolHandler);

        return (proto.newChannel(my_uri));
    }
};
4

1 回答 1

1

在规范的眼中,您正在做 xss。

虽然不同平台的实现略有不同,但一般的经验法则是相同的协议、相同的域、相同的端口。

于 2010-04-08T19:06:45.620 回答