CSP: Teach the preload scanner about the 'nonce' attribute
[WebKit-https.git] / Source / WebCore / html / parser / HTMLResourcePreloader.cpp
1 /*
2  * Copyright (C) 2013 Google Inc. All Rights Reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  * 1. Redistributions of source code must retain the above copyright
8  *    notice, this list of conditions and the following disclaimer.
9  * 2. Redistributions in binary form must reproduce the above copyright
10  *    notice, this list of conditions and the following disclaimer in the
11  *    documentation and/or other materials provided with the distribution.
12  *
13  * THIS SOFTWARE IS PROVIDED BY APPLE INC. ``AS IS'' AND ANY
14  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
15  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
16  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL APPLE INC. OR
17  * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
18  * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
19  * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
20  * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
21  * OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
22  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
23  * OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
24  */
25
26 #include "config.h"
27 #include "HTMLResourcePreloader.h"
28
29 #include "CachedResourceLoader.h"
30 #include "Document.h"
31
32 #include "MediaList.h"
33 #include "MediaQueryEvaluator.h"
34 #include "RenderView.h"
35
36 namespace WebCore {
37
38 URL PreloadRequest::completeURL(Document& document)
39 {
40     return document.completeURL(m_resourceURL, m_baseURL.isEmpty() ? document.baseURL() : m_baseURL);
41 }
42
43 CachedResourceRequest PreloadRequest::resourceRequest(Document& document)
44 {
45     ASSERT(isMainThread());
46
47     bool skipContentSecurityPolicyCheck = false;
48     if (m_resourceType == CachedResource::Type::Script)
49         skipContentSecurityPolicyCheck = document.contentSecurityPolicy()->allowScriptWithNonce(m_nonceAttribute);
50     else if (m_resourceType == CachedResource::Type::CSSStyleSheet)
51         skipContentSecurityPolicyCheck = document.contentSecurityPolicy()->allowStyleWithNonce(m_nonceAttribute);
52
53     ResourceLoaderOptions options = CachedResourceLoader::defaultCachedResourceOptions();
54     if (skipContentSecurityPolicyCheck)
55         options.contentSecurityPolicyImposition = ContentSecurityPolicyImposition::SkipPolicyCheck;
56
57     CachedResourceRequest request { completeURL(document), options };
58     request.setInitiator(m_initiator);
59     String crossOriginMode = m_crossOriginMode;
60     if (m_moduleScript == ModuleScript::Yes) {
61         if (crossOriginMode.isNull())
62             crossOriginMode = ASCIILiteral("omit");
63     }
64     request.setAsPotentiallyCrossOrigin(crossOriginMode, document);
65     return request;
66 }
67
68 void HTMLResourcePreloader::preload(PreloadRequestStream requests)
69 {
70     for (auto& request : requests)
71         preload(WTFMove(request));
72 }
73
74 static bool mediaAttributeMatches(Document& document, const RenderStyle* renderStyle, const String& attributeValue)
75 {
76     auto mediaQueries = MediaQuerySet::create(attributeValue);
77     return MediaQueryEvaluator { "screen", document, renderStyle }.evaluate(mediaQueries.get());
78 }
79
80 void HTMLResourcePreloader::preload(std::unique_ptr<PreloadRequest> preload)
81 {
82     ASSERT(m_document.frame());
83     ASSERT(m_document.renderView());
84     if (!preload->media().isEmpty() && !mediaAttributeMatches(m_document, &m_document.renderView()->style(), preload->media()))
85         return;
86
87     m_document.cachedResourceLoader().preload(preload->resourceType(), preload->resourceRequest(m_document));
88 }
89
90
91 }