Use SecurityOriginData more consistently in Service Worker code
[WebKit-https.git] / Source / WebCore / page / SecurityOrigin.h
1 /*
2  * Copyright (C) 2007-2018 Apple Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1.  Redistributions of source code must retain the above copyright
9  *     notice, this list of conditions and the following disclaimer.
10  * 2.  Redistributions in binary form must reproduce the above copyright
11  *     notice, this list of conditions and the following disclaimer in the
12  *     documentation and/or other materials provided with the distribution.
13  * 3.  Neither the name of Apple Inc. ("Apple") nor the names of
14  *     its contributors may be used to endorse or promote products derived
15  *     from this software without specific prior written permission.
16  *
17  * THIS SOFTWARE IS PROVIDED BY APPLE AND ITS CONTRIBUTORS "AS IS" AND ANY
18  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
19  * WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
20  * DISCLAIMED. IN NO EVENT SHALL APPLE OR ITS CONTRIBUTORS BE LIABLE FOR ANY
21  * DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
22  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
23  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
24  * ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
25  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
26  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
27  */
28
29 #pragma once
30
31 #include "SecurityOriginData.h"
32 #include <wtf/ThreadSafeRefCounted.h>
33 #include <wtf/text/WTFString.h>
34
35 namespace WebCore {
36
37 class URL;
38
39 class SecurityOrigin : public ThreadSafeRefCounted<SecurityOrigin> {
40 public:
41     enum Policy {
42         AlwaysDeny = 0,
43         AlwaysAllow,
44         Ask
45     };
46
47     enum StorageBlockingPolicy {
48         AllowAllStorage = 0,
49         BlockThirdPartyStorage,
50         BlockAllStorage
51     };
52
53     WEBCORE_EXPORT static Ref<SecurityOrigin> create(const URL&);
54     WEBCORE_EXPORT static Ref<SecurityOrigin> createUnique();
55
56     WEBCORE_EXPORT static Ref<SecurityOrigin> createFromString(const String&);
57     WEBCORE_EXPORT static Ref<SecurityOrigin> create(const String& protocol, const String& host, std::optional<uint16_t> port);
58
59     // Some URL schemes use nested URLs for their security context. For example,
60     // filesystem URLs look like the following:
61     //
62     //   filesystem:http://example.com/temporary/path/to/file.png
63     //
64     // We're supposed to use "http://example.com" as the origin.
65     //
66     // Generally, we add URL schemes to this list when WebKit support them. For
67     // example, we don't include the "jar" scheme, even though Firefox
68     // understands that "jar" uses an inner URL for it's security origin.
69     static bool shouldUseInnerURL(const URL&);
70     static URL extractInnerURL(const URL&);
71
72     // Create a deep copy of this SecurityOrigin. This method is useful
73     // when marshalling a SecurityOrigin to another thread.
74     WEBCORE_EXPORT Ref<SecurityOrigin> isolatedCopy() const;
75
76     // Set the domain property of this security origin to newDomain. This
77     // function does not check whether newDomain is a suffix of the current
78     // domain. The caller is responsible for validating newDomain.
79     void setDomainFromDOM(const String& newDomain);
80     bool domainWasSetInDOM() const { return m_domainWasSetInDOM; }
81
82     const String& protocol() const { return m_data.protocol; }
83     const String& host() const { return m_data.host; }
84     const String& domain() const { return m_domain; }
85     std::optional<uint16_t> port() const { return m_data.port; }
86
87     // Returns true if a given URL is secure, based either directly on its
88     // own protocol, or, when relevant, on the protocol of its "inner URL"
89     // Protocols like blob: and filesystem: fall into this latter category.
90     static bool isSecure(const URL&);
91
92     // Returns true if this SecurityOrigin can script objects in the given
93     // SecurityOrigin. For example, call this function before allowing
94     // script from one security origin to read or write objects from
95     // another SecurityOrigin.
96     WEBCORE_EXPORT bool canAccess(const SecurityOrigin&) const;
97
98     // Returns true if this SecurityOrigin can read content retrieved from
99     // the given URL. For example, call this function before issuing
100     // XMLHttpRequests.
101     WEBCORE_EXPORT bool canRequest(const URL&) const;
102
103     // Returns true if this SecurityOrigin can receive drag content from the
104     // initiator. For example, call this function before allowing content to be
105     // dropped onto a target.
106     bool canReceiveDragData(const SecurityOrigin& dragInitiator) const;
107
108     // Returns true if |document| can display content from the given URL (e.g.,
109     // in an iframe or as an image). For example, web sites generally cannot
110     // display content from the user's files system.
111     WEBCORE_EXPORT bool canDisplay(const URL&) const;
112
113     // Returns true if this SecurityOrigin can load local resources, such
114     // as images, iframes, and style sheets, and can link to local URLs.
115     // For example, call this function before creating an iframe to a
116     // file:// URL.
117     //
118     // Note: A SecurityOrigin might be allowed to load local resources
119     //       without being able to issue an XMLHttpRequest for a local URL.
120     //       To determine whether the SecurityOrigin can issue an
121     //       XMLHttpRequest for a URL, call canRequest(url).
122     bool canLoadLocalResources() const { return m_canLoadLocalResources; }
123
124     // Explicitly grant the ability to load local resources to this
125     // SecurityOrigin.
126     //
127     // Note: This method exists only to support backwards compatibility
128     //       with older versions of WebKit.
129     void grantLoadLocalResources();
130
131     // Explicitly grant the ability to access very other SecurityOrigin.
132     //
133     // WARNING: This is an extremely powerful ability. Use with caution!
134     void grantUniversalAccess();
135     bool hasUniversalAccess() const { return m_universalAccess; }
136
137     void setStorageBlockingPolicy(StorageBlockingPolicy policy) { m_storageBlockingPolicy = policy; }
138
139     void grantStorageAccessFromFileURLsQuirk();
140     bool needsStorageAccessFromFileURLsQuirk() const { return m_needsStorageAccessFromFileURLsQuirk; }
141
142     WEBCORE_EXPORT String domainForCachePartition() const;
143
144     bool canAccessDatabase(const SecurityOrigin& topOrigin) const { return canAccessStorage(&topOrigin); };
145     bool canAccessSessionStorage(const SecurityOrigin& topOrigin) const { return canAccessStorage(&topOrigin, AlwaysAllowFromThirdParty); }
146     bool canAccessLocalStorage(const SecurityOrigin* topOrigin) const { return canAccessStorage(topOrigin); };
147     bool canAccessPluginStorage(const SecurityOrigin& topOrigin) const { return canAccessStorage(&topOrigin); }
148     bool canAccessApplicationCache(const SecurityOrigin& topOrigin) const { return canAccessStorage(&topOrigin); }
149     bool canAccessCookies() const { return !isUnique(); }
150     bool canRequestGeolocation() const { return !isUnique(); }
151     Policy canShowNotifications() const;
152
153     // The local SecurityOrigin is the most privileged SecurityOrigin.
154     // The local SecurityOrigin can script any document, navigate to local
155     // resources, and can set arbitrary headers on XMLHttpRequests.
156     WEBCORE_EXPORT bool isLocal() const;
157
158     // The origin is a globally unique identifier assigned when the Document is
159     // created. http://www.whatwg.org/specs/web-apps/current-work/#sandboxOrigin
160     //
161     // There's a subtle difference between a unique origin and an origin that
162     // has the SandboxOrigin flag set. The latter implies the former, and, in
163     // addition, the SandboxOrigin flag is inherited by iframes.
164     bool isUnique() const { return m_isUnique; }
165
166     // Marks a file:// origin as being in a domain defined by its path.
167     // FIXME 81578: The naming of this is confusing. Files with restricted access to other local files
168     // still can have other privileges that can be remembered, thereby not making them unique.
169     void setEnforcesFilePathSeparation();
170     bool enforcesFilePathSeparation() const { return m_enforcesFilePathSeparation; }
171
172     // Convert this SecurityOrigin into a string. The string
173     // representation of a SecurityOrigin is similar to a URL, except it
174     // lacks a path component. The string representation does not encode
175     // the value of the SecurityOrigin's domain property.
176     //
177     // When using the string value, it's important to remember that it might be
178     // "null". This happens when this SecurityOrigin is unique. For example,
179     // this SecurityOrigin might have come from a sandboxed iframe, the
180     // SecurityOrigin might be empty, or we might have explicitly decided that
181     // we shouldTreatURLSchemeAsNoAccess.
182     WEBCORE_EXPORT String toString() const;
183
184     // Similar to toString(), but does not take into account any factors that
185     // could make the string return "null".
186     WEBCORE_EXPORT String toRawString() const;
187
188     // This method checks for equality between SecurityOrigins, not whether
189     // one origin can access another. It is used for hash table keys.
190     // For access checks, use canAccess().
191     // FIXME: If this method is really only useful for hash table keys, it
192     // should be refactored into SecurityOriginHash.
193     WEBCORE_EXPORT bool equal(const SecurityOrigin*) const;
194
195     // This method checks for equality, ignoring the value of document.domain
196     // (and whether it was set) but considering the host. It is used for postMessage.
197     WEBCORE_EXPORT bool isSameSchemeHostPort(const SecurityOrigin&) const;
198
199     // This method implements the "same origin" algorithm from the HTML Standard:
200     // https://html.spec.whatwg.org/multipage/browsers.html#same-origin
201     WEBCORE_EXPORT bool isSameOriginAs(const SecurityOrigin&) const;
202
203     static URL urlWithUniqueSecurityOrigin();
204
205     WEBCORE_EXPORT bool isPotentiallyTrustworthy() const;
206
207     static bool isLocalHostOrLoopbackIPAddress(const String& host);
208
209     const SecurityOriginData& data() const { return m_data; }
210
211 private:
212     SecurityOrigin();
213     explicit SecurityOrigin(const URL&);
214     explicit SecurityOrigin(const SecurityOrigin*);
215
216     // FIXME: Rename this function to something more semantic.
217     bool passesFileCheck(const SecurityOrigin&) const;
218
219     // This method checks that the scheme for this origin is an HTTP-family
220     // scheme, e.g. HTTP and HTTPS.
221     bool isHTTPFamily() const { return m_data.protocol == "http" || m_data.protocol == "https"; }
222     
223     enum ShouldAllowFromThirdParty { AlwaysAllowFromThirdParty, MaybeAllowFromThirdParty };
224     WEBCORE_EXPORT bool canAccessStorage(const SecurityOrigin*, ShouldAllowFromThirdParty = MaybeAllowFromThirdParty) const;
225
226     SecurityOriginData m_data;
227     String m_domain;
228     String m_filePath;
229     bool m_isUnique { false };
230     bool m_universalAccess { false };
231     bool m_domainWasSetInDOM { false };
232     bool m_canLoadLocalResources { false };
233     StorageBlockingPolicy m_storageBlockingPolicy { AllowAllStorage };
234     bool m_enforcesFilePathSeparation { false };
235     bool m_needsStorageAccessFromFileURLsQuirk { false };
236     enum class IsPotentiallyTrustworthy : uint8_t { No, Yes, Unknown };
237     mutable IsPotentiallyTrustworthy m_isPotentiallyTrustworthy { IsPotentiallyTrustworthy::Unknown };
238 };
239
240 bool shouldTreatAsPotentiallyTrustworthy(const URL&);
241
242 // Returns true if the Origin header values serialized from these two origins would be the same.
243 bool originsMatch(const SecurityOrigin&, const SecurityOrigin&);
244 bool originsMatch(const SecurityOrigin*, const SecurityOrigin*);
245
246 } // namespace WebCore