Document::securityOrigin() should return a reference.
[WebKit-https.git] / Source / WebCore / page / Location.cpp
1 /*
2  * Copyright (C) 2008, 2010 Apple Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1.  Redistributions of source code must retain the above copyright
9  *     notice, this list of conditions and the following disclaimer. 
10  * 2.  Redistributions in binary form must reproduce the above copyright
11  *     notice, this list of conditions and the following disclaimer in the
12  *     documentation and/or other materials provided with the distribution. 
13  * 3.  Neither the name of Apple Inc. ("Apple") nor the names of
14  *     its contributors may be used to endorse or promote products derived
15  *     from this software without specific prior written permission. 
16  *
17  * THIS SOFTWARE IS PROVIDED BY APPLE AND ITS CONTRIBUTORS "AS IS" AND ANY
18  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
19  * WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
20  * DISCLAIMED. IN NO EVENT SHALL APPLE OR ITS CONTRIBUTORS BE LIABLE FOR ANY
21  * DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
22  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
23  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
24  * ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
25  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
26  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
27  */
28
29 #include "config.h"
30 #include "Location.h"
31
32 #include "DOMWindow.h"
33 #include "Document.h"
34 #include "ExceptionCode.h"
35 #include "Frame.h"
36 #include "FrameLoader.h"
37 #include "URL.h"
38 #include "SecurityOrigin.h"
39
40 namespace WebCore {
41
42 Location::Location(Frame* frame)
43     : DOMWindowProperty(frame)
44 {
45 }
46
47 inline const URL& Location::url() const
48 {
49     ASSERT(m_frame);
50
51     const URL& url = m_frame->document()->url();
52     if (!url.isValid())
53         return blankURL(); // Use "about:blank" while the page is still loading (before we have a frame).
54
55     return url;
56 }
57
58 String Location::href() const
59 {
60     if (!m_frame)
61         return String();
62
63     auto& url = this->url();
64
65     if (!url.hasUsername() && !url.hasPassword())
66         return url.string();
67
68     URL urlWithoutCredentials(url);
69     urlWithoutCredentials.setUser(WTF::emptyString());
70     urlWithoutCredentials.setPass(WTF::emptyString());
71     return urlWithoutCredentials.string();
72 }
73
74 String Location::protocol() const
75 {
76     if (!m_frame)
77         return String();
78
79     return makeString(url().protocol(), ":");
80 }
81
82 String Location::host() const
83 {
84     if (!m_frame)
85         return String();
86
87     // Note: this is the IE spec. The NS spec swaps the two, it says
88     // "The hostname property is the concatenation of the host and port properties, separated by a colon."
89     return url().hostAndPort();
90 }
91
92 String Location::hostname() const
93 {
94     if (!m_frame)
95         return String();
96
97     return url().host();
98 }
99
100 String Location::port() const
101 {
102     if (!m_frame)
103         return String();
104
105     const URL& url = this->url();
106     return url.port() ? String::number(url.port().value()) : emptyString();
107 }
108
109 String Location::pathname() const
110 {
111     if (!m_frame)
112         return String();
113
114     const URL& url = this->url();
115     return url.path().isEmpty() ? "/" : url.path();
116 }
117
118 String Location::search() const
119 {
120     if (!m_frame)
121         return String();
122
123     const URL& url = this->url();
124     return url.query().isEmpty() ? emptyString() : "?" + url.query();
125 }
126
127 String Location::origin() const
128 {
129     if (!m_frame)
130         return String();
131     return SecurityOrigin::create(url())->toString();
132 }
133
134 Ref<DOMStringList> Location::ancestorOrigins() const
135 {
136     auto origins = DOMStringList::create();
137     if (!m_frame)
138         return origins;
139     for (Frame* frame = m_frame->tree().parent(); frame; frame = frame->tree().parent())
140         origins->append(frame->document()->securityOrigin().toString());
141     return origins;
142 }
143
144 String Location::hash() const
145 {
146     if (!m_frame)
147         return String();
148
149     const String& fragmentIdentifier = url().fragmentIdentifier();
150     return fragmentIdentifier.isEmpty() ? emptyString() : "#" + fragmentIdentifier;
151 }
152
153 void Location::setHref(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& url)
154 {
155     if (!m_frame)
156         return;
157     setLocation(activeWindow, firstWindow, url);
158 }
159
160 ExceptionOr<void> Location::setProtocol(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& protocol)
161 {
162     if (!m_frame)
163         return { };
164     URL url = m_frame->document()->url();
165     if (!url.setProtocol(protocol))
166         return Exception { SYNTAX_ERR };
167     setLocation(activeWindow, firstWindow, url.string());
168     return { };
169 }
170
171 void Location::setHost(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& host)
172 {
173     if (!m_frame)
174         return;
175     URL url = m_frame->document()->url();
176     url.setHostAndPort(host);
177     setLocation(activeWindow, firstWindow, url.string());
178 }
179
180 void Location::setHostname(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& hostname)
181 {
182     if (!m_frame)
183         return;
184     URL url = m_frame->document()->url();
185     url.setHost(hostname);
186     setLocation(activeWindow, firstWindow, url.string());
187 }
188
189 void Location::setPort(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& portString)
190 {
191     if (!m_frame)
192         return;
193     URL url = m_frame->document()->url();
194     int port = portString.toInt();
195     if (port < 0 || port > 0xFFFF || portString.isEmpty())
196         url.removePort();
197     else
198         url.setPort(port);
199     setLocation(activeWindow, firstWindow, url.string());
200 }
201
202 void Location::setPathname(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& pathname)
203 {
204     if (!m_frame)
205         return;
206     URL url = m_frame->document()->url();
207     url.setPath(pathname);
208     setLocation(activeWindow, firstWindow, url.string());
209 }
210
211 void Location::setSearch(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& search)
212 {
213     if (!m_frame)
214         return;
215     URL url = m_frame->document()->url();
216     url.setQuery(search);
217     setLocation(activeWindow, firstWindow, url.string());
218 }
219
220 void Location::setHash(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& hash)
221 {
222     if (!m_frame)
223         return;
224     ASSERT(m_frame->document());
225     auto url = m_frame->document()->url();
226     auto oldFragmentIdentifier = url.fragmentIdentifier();
227     auto newFragmentIdentifier = hash;
228     if (hash[0] == '#')
229         newFragmentIdentifier = hash.substring(1);
230     url.setFragmentIdentifier(newFragmentIdentifier);
231     // Note that by parsing the URL and *then* comparing fragments, we are 
232     // comparing fragments post-canonicalization, and so this handles the 
233     // cases where fragment identifiers are ignored or invalid. 
234     if (equalIgnoringNullity(oldFragmentIdentifier, url.fragmentIdentifier()))
235         return;
236     setLocation(activeWindow, firstWindow, url.string());
237 }
238
239 void Location::assign(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& url)
240 {
241     if (!m_frame)
242         return;
243     setLocation(activeWindow, firstWindow, url);
244 }
245
246 void Location::replace(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& url)
247 {
248     if (!m_frame)
249         return;
250     ASSERT(m_frame->document());
251     ASSERT(m_frame->document()->domWindow());
252     // We call DOMWindow::setLocation directly here because replace() always operates on the current frame.
253     m_frame->document()->domWindow()->setLocation(activeWindow, firstWindow, url, LockHistoryAndBackForwardList);
254 }
255
256 void Location::reload(DOMWindow& activeWindow)
257 {
258     if (!m_frame)
259         return;
260
261     ASSERT(activeWindow.document());
262     ASSERT(m_frame->document());
263     ASSERT(m_frame->document()->domWindow());
264
265     auto& activeDocument = *activeWindow.document();
266     auto& targetDocument = *m_frame->document();
267
268     // FIXME: It's not clear this cross-origin security check is valuable.
269     // We allow one page to change the location of another. Why block attempts to reload?
270     // Other location operations simply block use of JavaScript URLs cross origin.
271     if (!activeDocument.securityOrigin().canAccess(targetDocument.securityOrigin())) {
272         auto& targetWindow = *targetDocument.domWindow();
273         targetWindow.printErrorMessage(targetWindow.crossDomainAccessErrorMessage(activeWindow));
274         return;
275     }
276
277     if (protocolIsJavaScript(targetDocument.url()))
278         return;
279
280     m_frame->navigationScheduler().scheduleRefresh(activeDocument);
281 }
282
283 void Location::setLocation(DOMWindow& activeWindow, DOMWindow& firstWindow, const String& url)
284 {
285     ASSERT(m_frame);
286     auto* targetFrame = m_frame->loader().findFrameForNavigation({ }, activeWindow.document());
287     if (!targetFrame)
288         return;
289     ASSERT(targetFrame->document());
290     ASSERT(targetFrame->document()->domWindow());
291     targetFrame->document()->domWindow()->setLocation(activeWindow, firstWindow, url);
292 }
293
294 } // namespace WebCore