7ea46eed7dd693226fba2305a7ec6ef5083ad569
[WebKit-https.git] / Source / WebCore / bindings / v8 / V8DOMWindowShell.cpp
1 /*
2  * Copyright (C) 2008, 2009, 2011 Google Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions are
6  * met:
7  *
8  *     * Redistributions of source code must retain the above copyright
9  * notice, this list of conditions and the following disclaimer.
10  *     * Redistributions in binary form must reproduce the above
11  * copyright notice, this list of conditions and the following disclaimer
12  * in the documentation and/or other materials provided with the
13  * distribution.
14  *     * Neither the name of Google Inc. nor the names of its
15  * contributors may be used to endorse or promote products derived from
16  * this software without specific prior written permission.
17  *
18  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
19  * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
20  * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
21  * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
22  * OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
23  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
24  * LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
25  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
26  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
27  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
28  * OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
29  */
30
31 #include "config.h"
32 #include "V8DOMWindowShell.h"
33
34 #include "ContentSecurityPolicy.h"
35 #include "DateExtension.h"
36 #include "DocumentLoader.h"
37 #include "Frame.h"
38 #include "FrameLoader.h"
39 #include "FrameLoaderClient.h"
40 #include "HTMLCollection.h"
41 #include "HTMLIFrameElement.h"
42 #include "InspectorInstrumentation.h"
43 #include "Page.h"
44 #include "RuntimeEnabledFeatures.h"
45 #include "ScriptController.h"
46 #include "SecurityOrigin.h"
47 #include "V8Binding.h"
48 #include "V8DOMWindow.h"
49 #include "V8Document.h"
50 #include "V8GCForContextDispose.h"
51 #include "V8HTMLCollection.h"
52 #include "V8HTMLDocument.h"
53 #include "V8HiddenPropertyName.h"
54 #include "V8Initializer.h"
55 #include "V8ObjectConstructor.h"
56 #include "V8PerContextData.h"
57 #include <algorithm>
58 #include <utility>
59 #include <v8-debug.h>
60 #include <v8.h>
61 #include <wtf/Assertions.h>
62 #include <wtf/OwnArrayPtr.h>
63 #include <wtf/StringExtras.h>
64 #include <wtf/text/CString.h>
65
66 #if ENABLE(JAVASCRIPT_I18N_API)
67 #include <v8-i18n/include/extension.h>
68 #endif
69
70 namespace WebCore {
71
72 static void checkDocumentWrapper(v8::Handle<v8::Object> wrapper, Document* document)
73 {
74     ASSERT(V8Document::toNative(wrapper) == document);
75     ASSERT(!document->isHTMLDocument() || (V8Document::toNative(v8::Handle<v8::Object>::Cast(wrapper->GetPrototype())) == document));
76 }
77
78 static void setInjectedScriptContextDebugId(v8::Handle<v8::Context> targetContext, int debugId)
79 {
80     char buffer[32];
81     if (debugId == -1)
82         snprintf(buffer, sizeof(buffer), "injected");
83     else
84         snprintf(buffer, sizeof(buffer), "injected,%d", debugId);
85     targetContext->SetEmbedderData(0, v8::String::NewSymbol(buffer));
86 }
87
88 PassOwnPtr<V8DOMWindowShell> V8DOMWindowShell::create(Frame* frame, PassRefPtr<DOMWrapperWorld> world, v8::Isolate* isolate)
89 {
90     return adoptPtr(new V8DOMWindowShell(frame, world, isolate));
91 }
92
93 V8DOMWindowShell::V8DOMWindowShell(Frame* frame, PassRefPtr<DOMWrapperWorld> world, v8::Isolate* isolate)
94     : m_frame(frame)
95     , m_world(world)
96     , m_isolate(isolate)
97 {
98 }
99
100 void V8DOMWindowShell::destroyIsolatedShell()
101 {
102     ASSERT(m_world->isIsolatedWorld());
103
104     if (m_context.isEmpty())
105         return;
106
107     v8::HandleScope handleScope;
108     m_world->makeContextWeak(m_context.get());
109     disposeContext();
110     m_global.clear();
111 }
112
113 void V8DOMWindowShell::disposeContext()
114 {
115     m_perContextData.clear();
116
117     if (m_context.isEmpty())
118         return;
119
120     m_frame->loader()->client()->willReleaseScriptContext(m_context.get(), m_world->worldId());
121
122     m_context.clear();
123
124     // It's likely that disposing the context has created a lot of
125     // garbage. Notify V8 about this so it'll have a chance of cleaning
126     // it up when idle.
127     bool isMainFrame = m_frame->page() && (m_frame->page()->mainFrame() == m_frame);
128     V8GCForContextDispose::instance().notifyContextDisposed(isMainFrame);
129 }
130
131 void V8DOMWindowShell::clearForClose(bool destroyGlobal)
132 {
133     if (destroyGlobal)
134         m_global.clear();
135
136     if (m_context.isEmpty())
137         return;
138
139     v8::HandleScope handleScope;
140     m_document.clear();
141     disposeContext();
142 }
143
144 void V8DOMWindowShell::clearForNavigation()
145 {
146     if (m_context.isEmpty())
147         return;
148
149     v8::HandleScope handleScope;
150     m_document.clear();
151
152     // FIXME: Should we create a new Local handle here?
153     v8::Context::Scope contextScope(m_context.get());
154
155     // Clear the document wrapper cache before turning on access checks on
156     // the old DOMWindow wrapper. This way, access to the document wrapper
157     // will be protected by the security checks on the DOMWindow wrapper.
158     clearDocumentProperty();
159
160     v8::Handle<v8::Object> windowWrapper = m_global->FindInstanceInPrototypeChain(V8DOMWindow::GetTemplate(m_isolate));
161     ASSERT(!windowWrapper.IsEmpty());
162     windowWrapper->TurnOnAccessCheck();
163     m_context->DetachGlobal();
164     disposeContext();
165 }
166
167 // Create a new environment and setup the global object.
168 //
169 // The global object corresponds to a DOMWindow instance. However, to
170 // allow properties of the JS DOMWindow instance to be shadowed, we
171 // use a shadow object as the global object and use the JS DOMWindow
172 // instance as the prototype for that shadow object. The JS DOMWindow
173 // instance is undetectable from JavaScript code because the __proto__
174 // accessors skip that object.
175 //
176 // The shadow object and the DOMWindow instance are seen as one object
177 // from JavaScript. The JavaScript object that corresponds to a
178 // DOMWindow instance is the shadow object. When mapping a DOMWindow
179 // instance to a V8 object, we return the shadow object.
180 //
181 // To implement split-window, see
182 //   1) https://bugs.webkit.org/show_bug.cgi?id=17249
183 //   2) https://wiki.mozilla.org/Gecko:SplitWindow
184 //   3) https://bugzilla.mozilla.org/show_bug.cgi?id=296639
185 // we need to split the shadow object further into two objects:
186 // an outer window and an inner window. The inner window is the hidden
187 // prototype of the outer window. The inner window is the default
188 // global object of the context. A variable declared in the global
189 // scope is a property of the inner window.
190 //
191 // The outer window sticks to a Frame, it is exposed to JavaScript
192 // via window.window, window.self, window.parent, etc. The outer window
193 // has a security token which is the domain. The outer window cannot
194 // have its own properties. window.foo = 'x' is delegated to the
195 // inner window.
196 //
197 // When a frame navigates to a new page, the inner window is cut off
198 // the outer window, and the outer window identify is preserved for
199 // the frame. However, a new inner window is created for the new page.
200 // If there are JS code holds a closure to the old inner window,
201 // it won't be able to reach the outer window via its global object.
202 bool V8DOMWindowShell::initializeIfNeeded()
203 {
204     if (!m_context.isEmpty())
205         return true;
206
207     v8::HandleScope handleScope;
208
209     V8Initializer::initializeMainThreadIfNeeded(m_isolate);
210
211     createContext();
212     if (m_context.isEmpty())
213         return false;
214
215     m_world->setIsolatedWorldField(m_context.get());
216
217     bool isMainWorld = m_world->isMainWorld();
218
219     v8::Local<v8::Context> context = v8::Local<v8::Context>::New(m_context.get());
220     v8::Context::Scope contextScope(context);
221
222     if (m_global.isEmpty()) {
223         m_global.set(context->Global());
224         if (m_global.isEmpty()) {
225             disposeContext();
226             return false;
227         }
228     }
229
230     if (!isMainWorld) {
231         V8DOMWindowShell* mainWindow = m_frame->script()->existingWindowShell(mainThreadNormalWorld());
232         if (mainWindow && !mainWindow->context().IsEmpty())
233             setInjectedScriptContextDebugId(m_context.get(), m_frame->script()->contextDebugId(mainWindow->context()));
234     }
235
236     m_perContextData = V8PerContextData::create(m_context.get());
237     if (!m_perContextData->init()) {
238         disposeContext();
239         return false;
240     }
241
242     if (!installDOMWindow()) {
243         disposeContext();
244         return false;
245     }
246
247     if (isMainWorld) {
248         updateDocument();
249         setSecurityToken();
250         if (m_frame->document()) {
251             ContentSecurityPolicy* csp = m_frame->document()->contentSecurityPolicy();
252             context->AllowCodeGenerationFromStrings(csp->allowEval(0, ContentSecurityPolicy::SuppressReport));
253             context->SetErrorMessageForCodeGenerationFromStrings(v8String(csp->evalDisabledErrorMessage(), m_isolate));
254         }
255     } else {
256         // Using the default security token means that the canAccess is always
257         // called, which is slow.
258         // FIXME: Use tokens where possible. This will mean keeping track of all
259         //        created contexts so that they can all be updated when the
260         //        document domain
261         //        changes.
262         m_context->UseDefaultSecurityToken();
263
264         SecurityOrigin* origin = m_world->isolatedWorldSecurityOrigin();
265         if (origin && InspectorInstrumentation::hasFrontends()) {
266             ScriptState* scriptState = ScriptState::forContext(v8::Local<v8::Context>::New(m_context.get()));
267             InspectorInstrumentation::didCreateIsolatedContext(m_frame, scriptState, origin);
268         }
269     }
270     m_frame->loader()->client()->didCreateScriptContext(m_context.get(), m_world->extensionGroup(), m_world->worldId());
271     return true;
272 }
273
274 void V8DOMWindowShell::createContext()
275 {
276     // The activeDocumentLoader pointer could be 0 during frame shutdown.
277     // FIXME: Can we remove this check?
278     if (!m_frame->loader()->activeDocumentLoader())
279         return;
280
281     // Create a new environment using an empty template for the shadow
282     // object. Reuse the global object if one has been created earlier.
283     v8::Persistent<v8::ObjectTemplate> globalTemplate = V8DOMWindow::GetShadowObjectTemplate(m_isolate);
284     if (globalTemplate.IsEmpty())
285         return;
286
287     // Used to avoid sleep calls in unload handlers.
288     ScriptController::registerExtensionIfNeeded(DateExtension::get());
289
290 #if ENABLE(JAVASCRIPT_I18N_API)
291     // Enables experimental i18n API in V8.
292     if (RuntimeEnabledFeatures::javaScriptI18NAPIEnabled())
293         ScriptController::registerExtensionIfNeeded(v8_i18n::Extension::get());
294 #endif
295
296     // Dynamically tell v8 about our extensions now.
297     const V8Extensions& extensions = ScriptController::registeredExtensions();
298     OwnArrayPtr<const char*> extensionNames = adoptArrayPtr(new const char*[extensions.size()]);
299     int index = 0;
300     int extensionGroup = m_world->extensionGroup();
301     int worldId = m_world->worldId();
302     for (size_t i = 0; i < extensions.size(); ++i) {
303         // Ensure our date extension is always allowed.
304         if (extensions[i] != DateExtension::get()
305             && !m_frame->loader()->client()->allowScriptExtension(extensions[i]->name(), extensionGroup, worldId))
306             continue;
307
308         extensionNames[index++] = extensions[i]->name();
309     }
310     v8::ExtensionConfiguration extensionConfiguration(index, extensionNames.get());
311
312     m_context.adopt(v8::Context::New(&extensionConfiguration, globalTemplate, m_global.get()));
313 }
314
315 bool V8DOMWindowShell::installDOMWindow()
316 {
317     DOMWindow* window = m_frame->document()->domWindow();
318     v8::Local<v8::Object> windowWrapper = V8ObjectConstructor::newInstance(V8PerContextData::from(m_context.get())->constructorForType(&V8DOMWindow::info));
319     if (windowWrapper.IsEmpty())
320         return false;
321
322     V8DOMWindow::installPerContextProperties(windowWrapper, window, m_isolate);
323
324     V8DOMWrapper::setNativeInfo(v8::Handle<v8::Object>::Cast(windowWrapper->GetPrototype()), &V8DOMWindow::info, window);
325
326     // Install the windowWrapper as the prototype of the innerGlobalObject.
327     // The full structure of the global object is as follows:
328     //
329     // outerGlobalObject (Empty object, remains after navigation)
330     //   -- has prototype --> innerGlobalObject (Holds global variables, changes during navigation)
331     //   -- has prototype --> DOMWindow instance
332     //   -- has prototype --> Window.prototype
333     //   -- has prototype --> Object.prototype
334     //
335     // Note: Much of this prototype structure is hidden from web content. The
336     //       outer, inner, and DOMWindow instance all appear to be the same
337     //       JavaScript object.
338     //
339     v8::Handle<v8::Object> innerGlobalObject = toInnerGlobalObject(m_context.get());
340     V8DOMWrapper::setNativeInfo(innerGlobalObject, &V8DOMWindow::info, window);
341     innerGlobalObject->SetPrototype(windowWrapper);
342     V8DOMWrapper::associateObjectWithWrapper(PassRefPtr<DOMWindow>(window), &V8DOMWindow::info, windowWrapper, m_isolate, WrapperConfiguration::Dependent);
343     return true;
344 }
345
346 void V8DOMWindowShell::updateDocumentWrapper(v8::Handle<v8::Object> wrapper)
347 {
348     ASSERT(m_world->isMainWorld());
349     m_document.set(wrapper);
350 }
351
352 void V8DOMWindowShell::updateDocumentProperty()
353 {
354     if (!m_world->isMainWorld())
355         return;
356
357     v8::HandleScope handleScope;
358     // FIXME: Should we use a new Local handle here?
359     v8::Context::Scope contextScope(m_context.get());
360
361     v8::Handle<v8::Value> documentWrapper = toV8(m_frame->document(), v8::Handle<v8::Object>(), m_context.get()->GetIsolate());
362     ASSERT(documentWrapper == m_document.get() || m_document.isEmpty());
363     if (m_document.isEmpty())
364         updateDocumentWrapper(v8::Handle<v8::Object>::Cast(documentWrapper));
365     checkDocumentWrapper(m_document.get(), m_frame->document());
366
367     // If instantiation of the document wrapper fails, clear the cache
368     // and let the DOMWindow accessor handle access to the document.
369     if (documentWrapper.IsEmpty()) {
370         clearDocumentProperty();
371         return;
372     }
373     ASSERT(documentWrapper->IsObject());
374     m_context->Global()->ForceSet(v8::String::NewSymbol("document"), documentWrapper, static_cast<v8::PropertyAttribute>(v8::ReadOnly | v8::DontDelete));
375
376     // We also stash a reference to the document on the inner global object so that
377     // DOMWindow objects we obtain from JavaScript references are guaranteed to have
378     // live Document objects.
379     toInnerGlobalObject(m_context.get())->SetHiddenValue(V8HiddenPropertyName::document(), documentWrapper);
380 }
381
382 void V8DOMWindowShell::clearDocumentProperty()
383 {
384     ASSERT(!m_context.isEmpty());
385     if (!m_world->isMainWorld())
386         return;
387     m_context->Global()->ForceDelete(v8::String::NewSymbol("document"));
388 }
389
390 void V8DOMWindowShell::setSecurityToken()
391 {
392     ASSERT(m_world->isMainWorld());
393
394     Document* document = m_frame->document();
395
396     // Ask the document's SecurityOrigin to generate a security token.
397     // If two tokens are equal, then the SecurityOrigins canAccess each other.
398     // If two tokens are not equal, then we have to call canAccess.
399     // Note: we can't use the HTTPOrigin if it was set from the DOM.
400     SecurityOrigin* origin = document->securityOrigin();
401     String token;
402     if (!origin->domainWasSetInDOM())
403         token = document->securityOrigin()->toString();
404
405     // An empty or "null" token means we always have to call
406     // canAccess. The toString method on securityOrigins returns the
407     // string "null" for empty security origins and for security
408     // origins that should only allow access to themselves. In this
409     // case, we use the global object as the security token to avoid
410     // calling canAccess when a script accesses its own objects.
411     if (token.isEmpty() || token == "null") {
412         m_context->UseDefaultSecurityToken();
413         return;
414     }
415
416     CString utf8Token = token.utf8();
417     // NOTE: V8 does identity comparison in fast path, must use a symbol
418     // as the security token.
419     m_context->SetSecurityToken(v8::String::NewSymbol(utf8Token.data(), utf8Token.length()));
420 }
421
422 void V8DOMWindowShell::updateDocument()
423 {
424     ASSERT(m_world->isMainWorld());
425     if (m_global.isEmpty())
426         return;
427     if (m_context.isEmpty())
428         return;
429     updateDocumentProperty();
430     updateSecurityOrigin();
431 }
432
433 static v8::Handle<v8::Value> getNamedProperty(HTMLDocument* htmlDocument, const AtomicString& key, v8::Handle<v8::Object> creationContext, v8::Isolate* isolate)
434 {
435     if (!htmlDocument->hasNamedItem(key.impl()) && !htmlDocument->hasExtraNamedItem(key.impl()))
436         return v8Undefined();
437
438     RefPtr<HTMLCollection> items = htmlDocument->documentNamedItems(key);
439     if (items->isEmpty())
440         return v8Undefined();
441
442     if (items->hasExactlyOneItem()) {
443         Node* node = items->item(0);
444         Frame* frame = 0;
445         if (node->hasTagName(HTMLNames::iframeTag) && (frame = static_cast<HTMLIFrameElement*>(node)->contentFrame()))
446             return toV8(frame->document()->domWindow(), creationContext, isolate);
447         return toV8(node, creationContext, isolate);
448     }
449     return toV8(items.release(), creationContext, isolate);
450 }
451
452 static v8::Handle<v8::Value> getter(v8::Local<v8::String> property, const v8::AccessorInfo& info)
453 {
454     // FIXME: Consider passing AtomicStringImpl directly.
455     AtomicString name = toWebCoreAtomicString(property);
456     HTMLDocument* htmlDocument = V8HTMLDocument::toNative(info.Holder());
457     ASSERT(htmlDocument);
458     v8::Handle<v8::Value> result = getNamedProperty(htmlDocument, name, info.Holder(), info.GetIsolate());
459     if (!result.IsEmpty())
460         return result;
461     v8::Handle<v8::Value> prototype = info.Holder()->GetPrototype();
462     if (prototype->IsObject())
463         return prototype.As<v8::Object>()->Get(property);
464     return v8::Undefined();
465 }
466
467 void V8DOMWindowShell::namedItemAdded(HTMLDocument* document, const AtomicString& name)
468 {
469     ASSERT(m_world->isMainWorld());
470
471     if (m_context.isEmpty())
472         return;
473
474     v8::HandleScope handleScope;
475     v8::Context::Scope contextScope(m_context.get());
476
477     ASSERT(!m_document.isEmpty());
478     checkDocumentWrapper(m_document.get(), document);
479     m_document->SetAccessor(v8String(name, m_isolate), getter);
480 }
481
482 void V8DOMWindowShell::namedItemRemoved(HTMLDocument* document, const AtomicString& name)
483 {
484     ASSERT(m_world->isMainWorld());
485
486     if (m_context.isEmpty())
487         return;
488
489     if (document->hasNamedItem(name.impl()) || document->hasExtraNamedItem(name.impl()))
490         return;
491
492     v8::HandleScope handleScope;
493     v8::Context::Scope contextScope(m_context.get());
494
495     ASSERT(!m_document.isEmpty());
496     checkDocumentWrapper(m_document.get(), document);
497     m_document->Delete(v8String(name, m_isolate));
498 }
499
500 void V8DOMWindowShell::updateSecurityOrigin()
501 {
502     ASSERT(m_world->isMainWorld());
503     if (m_context.isEmpty())
504         return;
505     v8::HandleScope handleScope;
506     setSecurityToken();
507 }
508
509 } // WebCore