5c52c494ced080b643535ad494413d2c42d07fb7
[WebKit-https.git] / Source / WebCore / loader / MixedContentChecker.cpp
1 /*
2  * Copyright (C) 2012 Google Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1.  Redistributions of source code must retain the above copyright
9  *     notice, this list of conditions and the following disclaimer. 
10  * 2.  Redistributions in binary form must reproduce the above copyright
11  *     notice, this list of conditions and the following disclaimer in the
12  *     documentation and/or other materials provided with the distribution. 
13  * 3.  Neither the name of Apple Computer, Inc. ("Apple") nor the names of
14  *     its contributors may be used to endorse or promote products derived
15  *     from this software without specific prior written permission. 
16  *
17  * THIS SOFTWARE IS PROVIDED BY APPLE AND ITS CONTRIBUTORS "AS IS" AND ANY
18  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
19  * WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
20  * DISCLAIMED. IN NO EVENT SHALL APPLE OR ITS CONTRIBUTORS BE LIABLE FOR ANY
21  * DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
22  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
23  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
24  * ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
25  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
26  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
27  */
28
29 #include "config.h"
30 #include "MixedContentChecker.h"
31
32 #include "Console.h"
33 #include "DOMWindow.h"
34 #include "Document.h"
35 #include "Frame.h"
36 #include "FrameLoader.h"
37 #include "FrameLoaderClient.h"
38 #include "SchemeRegistry.h"
39 #include "SecurityOrigin.h"
40 #include "Settings.h"
41 #include <wtf/text/CString.h>
42 #include <wtf/text/WTFString.h>
43
44 namespace WebCore {
45
46 MixedContentChecker::MixedContentChecker(Frame* frame)
47     : m_frame(frame)
48 {
49 }
50
51 FrameLoaderClient* MixedContentChecker::client() const
52 {
53     return m_frame->loader()->client();
54 }
55
56 static inline CString asUTF8(const KURL& url)
57 {
58     return url.string().utf8();
59 }
60
61 // static
62 bool MixedContentChecker::isMixedContent(SecurityOrigin* securityOrigin, const KURL& url)
63 {
64     if (securityOrigin->protocol() != "https")
65         return false; // We only care about HTTPS security origins.
66
67     // We're in a secure context, so |url| is mixed content if it's insecure.
68     return !SecurityOrigin::isSecure(url);
69 }
70
71 bool MixedContentChecker::canDisplayInsecureContent(SecurityOrigin* securityOrigin, const KURL& url) const
72 {
73     if (!isMixedContent(securityOrigin, url))
74         return true;
75
76     Settings* settings = m_frame->settings();
77     bool allowed = client()->allowDisplayingInsecureContent(settings && settings->allowDisplayOfInsecureContent(), securityOrigin, url);
78     logWarning(allowed, "displayed", url);
79
80     if (allowed)
81         client()->didDisplayInsecureContent();
82
83     return allowed;
84 }
85
86 bool MixedContentChecker::canRunInsecureContent(SecurityOrigin* securityOrigin, const KURL& url) const
87 {
88     if (!isMixedContent(securityOrigin, url))
89         return true;
90
91     Settings* settings = m_frame->settings();
92     bool allowed = client()->allowRunningInsecureContent(settings && settings->allowRunningOfInsecureContent(), securityOrigin, url);
93     logWarning(allowed, "ran", url);
94
95     if (allowed)
96         client()->didRunInsecureContent(securityOrigin, url);
97
98     return allowed;
99 }
100
101 void MixedContentChecker::logWarning(bool allowed, const String& action, const KURL& target) const
102 {
103     // FIXME: Why does this message not have a source URL or a line number? webkit.org/b/97979
104     String message = String::format("%sThe page at %s %s insecure content from %s.\n",
105         (allowed ? "" : "[blocked] "), asUTF8(m_frame->document()->url()).data(), action.utf8().data(), asUTF8(target).data());
106     m_frame->document()->addConsoleMessage(HTMLMessageSource, WarningMessageLevel, message);
107 }
108
109 } // namespace WebCore