fetch redirect is incompatible with "no-cors" mode
[WebKit-https.git] / Source / WebCore / loader / CrossOriginPreflightChecker.cpp
1 /*
2  * Copyright (C) 2016 Canon Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions are
6  * met:
7  *
8  *     * Redistributions of source code must retain the above copyright
9  * notice, this list of conditions and the following disclaimer.
10  *     * Redistributions in binary form must reproduce the above
11  * copyright notice, this list of conditions and the following disclaimer
12  * in the documentation and/or other materials provided with the
13  * distribution.
14  *     * Neither the name of Canon Inc. nor the names of its
15  * contributors may be used to endorse or promote products derived from
16  * this software without specific prior written permission.
17  *
18  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
19  * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
20  * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
21  * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
22  * OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
23  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
24  * LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
25  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
26  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
27  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
28  * OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
29  */
30
31 #include "config.h"
32 #include "CrossOriginPreflightChecker.h"
33
34 #include "CachedRawResource.h"
35 #include "CachedResourceLoader.h"
36 #include "CachedResourceRequest.h"
37 #include "ContentSecurityPolicy.h"
38 #include "CrossOriginAccessControl.h"
39 #include "CrossOriginPreflightResultCache.h"
40 #include "DocumentThreadableLoader.h"
41 #include "FrameLoader.h"
42 #include "InspectorInstrumentation.h"
43 #include "NetworkLoadMetrics.h"
44 #include "RuntimeEnabledFeatures.h"
45 #include "SharedBuffer.h"
46
47 namespace WebCore {
48
49 CrossOriginPreflightChecker::CrossOriginPreflightChecker(DocumentThreadableLoader& loader, ResourceRequest&& request)
50     : m_loader(loader)
51     , m_request(WTFMove(request))
52 {
53 }
54
55 CrossOriginPreflightChecker::~CrossOriginPreflightChecker()
56 {
57     if (m_resource)
58         m_resource->removeClient(*this);
59 }
60
61 void CrossOriginPreflightChecker::validatePreflightResponse(DocumentThreadableLoader& loader, ResourceRequest&& request, unsigned long identifier, const ResourceResponse& response)
62 {
63     String errorDescription;
64     if (!WebCore::validatePreflightResponse(request, response, loader.options().storedCredentialsPolicy, loader.securityOrigin(), errorDescription)) {
65         loader.preflightFailure(identifier, ResourceError(errorDomainWebKitInternal, 0, request.url(), errorDescription, ResourceError::Type::AccessControl));
66         return;
67     }
68
69     Frame* frame = loader.document().frame();
70     ASSERT(frame);
71
72     // FIXME: <https://webkit.org/b/164889> Web Inspector: Show Preflight Request information in inspector
73     // This is only showing success preflight requests and responses but we should show network events
74     // for preflight failures and distinguish them better from non-preflight requests.
75     NetworkLoadMetrics emptyMetrics;
76     InspectorInstrumentation::didReceiveResourceResponse(*frame, identifier, frame->loader().documentLoader(), response, nullptr);
77     InspectorInstrumentation::didFinishLoading(frame, frame->loader().documentLoader(), identifier, emptyMetrics, nullptr);
78
79     loader.preflightSuccess(WTFMove(request));
80 }
81
82 void CrossOriginPreflightChecker::notifyFinished(CachedResource& resource)
83 {
84     ASSERT_UNUSED(resource, &resource == m_resource);
85     if (m_resource->loadFailedOrCanceled()) {
86         ResourceError preflightError = m_resource->resourceError();
87         // If the preflight was cancelled by underlying code, it probably means the request was blocked due to some access control policy.
88         // FIXME:: According fetch, we should just pass the error to the layer above. But this may impact some clients like XHR or EventSource.
89         if (preflightError.isNull() || preflightError.isCancellation() || preflightError.isGeneral())
90             preflightError.setType(ResourceError::Type::AccessControl);
91
92         m_loader.preflightFailure(m_resource->identifier(), preflightError);
93         return;
94     }
95     validatePreflightResponse(m_loader, WTFMove(m_request), m_resource->identifier(), m_resource->response());
96 }
97
98 void CrossOriginPreflightChecker::redirectReceived(CachedResource& resource, ResourceRequest&&, const ResourceResponse& response, CompletionHandler<void(ResourceRequest&&)>&& completionHandler)
99 {
100     ASSERT_UNUSED(resource, &resource == m_resource);
101     validatePreflightResponse(m_loader, WTFMove(m_request), m_resource->identifier(), response);
102     completionHandler(ResourceRequest { });
103 }
104
105 void CrossOriginPreflightChecker::startPreflight()
106 {
107     ResourceLoaderOptions options;
108     options.referrerPolicy = m_loader.options().referrerPolicy;
109     options.contentSecurityPolicyImposition = ContentSecurityPolicyImposition::SkipPolicyCheck;
110     options.serviceWorkersMode = ServiceWorkersMode::None;
111
112     CachedResourceRequest preflightRequest(createAccessControlPreflightRequest(m_request, m_loader.securityOrigin(), m_loader.referrer()), options);
113     if (RuntimeEnabledFeatures::sharedFeatures().resourceTimingEnabled())
114         preflightRequest.setInitiator(m_loader.options().initiator);
115
116     ASSERT(!m_resource);
117     m_resource = m_loader.document().cachedResourceLoader().requestRawResource(WTFMove(preflightRequest)).value_or(nullptr);
118     if (m_resource)
119         m_resource->addClient(*this);
120 }
121
122 void CrossOriginPreflightChecker::doPreflight(DocumentThreadableLoader& loader, ResourceRequest&& request)
123 {
124     if (!loader.document().frame())
125         return;
126
127     ResourceRequest preflightRequest = createAccessControlPreflightRequest(request, loader.securityOrigin(), loader.referrer());
128     ResourceError error;
129     ResourceResponse response;
130     RefPtr<SharedBuffer> data;
131
132     unsigned identifier = loader.document().frame()->loader().loadResourceSynchronously(preflightRequest, StoredCredentialsPolicy::DoNotUse, ClientCredentialPolicy::CannotAskClientForCredentials, error, response, data);
133
134     if (!error.isNull()) {
135         // If the preflight was cancelled by underlying code, it probably means the request was blocked due to some access control policy.
136         // FIXME:: According fetch, we should just pass the error to the layer above. But this may impact some clients like XHR or EventSource.
137         if (error.isCancellation() || error.isGeneral())
138             error.setType(ResourceError::Type::AccessControl);
139         loader.preflightFailure(identifier, error);
140         return;
141     }
142
143     // FIXME: Ideally, we should ask platformLoadResourceSynchronously to set ResourceResponse isRedirected and use it here.
144     bool isRedirect = preflightRequest.url().strippedForUseAsReferrer() != response.url().strippedForUseAsReferrer();
145     if (isRedirect || !response.isSuccessful()) {
146         loader.preflightFailure(identifier, ResourceError(errorDomainWebKitInternal, 0, request.url(), ASCIILiteral("Preflight response is not successful"), ResourceError::Type::AccessControl));
147         return;
148     }
149
150     validatePreflightResponse(loader, WTFMove(request), identifier, response);
151 }
152
153 void CrossOriginPreflightChecker::setDefersLoading(bool value)
154 {
155     if (m_resource)
156         m_resource->setDefersLoading(value);
157 }
158
159 bool CrossOriginPreflightChecker::isXMLHttpRequest() const
160 {
161     return m_loader.isXMLHttpRequest();
162 }
163
164 } // namespace WebCore