[Qt] Allow removing 'qrc' as a local security origin scheme
[WebKit-https.git] / WebCore / page / SecurityOrigin.cpp
1 /*
2  * Copyright (C) 2007 Apple Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1.  Redistributions of source code must retain the above copyright
9  *     notice, this list of conditions and the following disclaimer.
10  * 2.  Redistributions in binary form must reproduce the above copyright
11  *     notice, this list of conditions and the following disclaimer in the
12  *     documentation and/or other materials provided with the distribution.
13  * 3.  Neither the name of Apple Computer, Inc. ("Apple") nor the names of
14  *     its contributors may be used to endorse or promote products derived
15  *     from this software without specific prior written permission.
16  *
17  * THIS SOFTWARE IS PROVIDED BY APPLE AND ITS CONTRIBUTORS "AS IS" AND ANY
18  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
19  * WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
20  * DISCLAIMED. IN NO EVENT SHALL APPLE OR ITS CONTRIBUTORS BE LIABLE FOR ANY
21  * DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
22  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
23  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
24  * ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
25  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
26  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
27  */
28
29 #include "config.h"
30 #include "SecurityOrigin.h"
31
32 #include "CString.h"
33 #include "Document.h"
34 #include "KURL.h"
35 #include "OriginAccessEntry.h"
36 #include <wtf/StdLibExtras.h>
37
38 namespace WebCore {
39
40 static SecurityOrigin::LocalLoadPolicy localLoadPolicy = SecurityOrigin::AllowLocalLoadsForLocalOnly;
41
42 typedef Vector<OriginAccessEntry> OriginAccessWhiteList;
43 typedef HashMap<String, OriginAccessWhiteList*> OriginAccessMap;
44
45 static OriginAccessMap& originAccessMap()
46 {
47     DEFINE_STATIC_LOCAL(OriginAccessMap, originAccessMap, ());
48     return originAccessMap;
49 }
50
51 static URLSchemesMap& localSchemes()
52 {
53     DEFINE_STATIC_LOCAL(URLSchemesMap, localSchemes, ());
54
55     if (localSchemes.isEmpty()) {
56         localSchemes.add("file");
57 #if PLATFORM(MAC)
58         localSchemes.add("applewebdata");
59 #endif
60 #if PLATFORM(QT)
61         localSchemes.add("qrc");
62 #endif
63     }
64
65     return localSchemes;
66 }
67
68 static URLSchemesMap& noAccessSchemes()
69 {
70     DEFINE_STATIC_LOCAL(URLSchemesMap, noAccessSchemes, ());
71
72     if (noAccessSchemes.isEmpty())
73         noAccessSchemes.add("data");
74
75     return noAccessSchemes;
76 }
77
78 bool SecurityOrigin::isDefaultPortForProtocol(unsigned short port, const String& protocol)
79 {
80     if (protocol.isEmpty())
81         return false;
82
83     typedef HashMap<String, unsigned> DefaultPortsMap;
84     DEFINE_STATIC_LOCAL(DefaultPortsMap, defaultPorts, ());
85     if (defaultPorts.isEmpty()) {
86         defaultPorts.set("http", 80);
87         defaultPorts.set("https", 443);
88         defaultPorts.set("ftp", 21);
89         defaultPorts.set("ftps", 990);
90     }
91     return defaultPorts.get(protocol) == port;
92 }
93
94 SecurityOrigin::SecurityOrigin(const KURL& url)
95     : m_protocol(url.protocol().isNull() ? "" : url.protocol().lower())
96     , m_host(url.host().isNull() ? "" : url.host().lower())
97     , m_port(url.port())
98     , m_sandboxFlags(SandboxNone)
99     , m_noAccess(false)
100     , m_universalAccess(false)
101     , m_domainWasSetInDOM(false)
102 {
103     // These protocols do not create security origins; the owner frame provides the origin
104     if (m_protocol == "about" || m_protocol == "javascript")
105         m_protocol = "";
106
107     // Some URLs are not allowed access to anything other than themselves.
108     if (shouldTreatURLSchemeAsNoAccess(m_protocol))
109         m_noAccess = true;
110
111     // document.domain starts as m_host, but can be set by the DOM.
112     m_domain = m_host;
113
114     // By default, only local SecurityOrigins can load local resources.
115     m_canLoadLocalResources = isLocal();
116     if (m_canLoadLocalResources) {
117         // Directories should never be readable.
118         if (!url.hasPath() || url.path().endsWith("/"))
119             m_noAccess = true;
120     }
121
122     if (isDefaultPortForProtocol(m_port, m_protocol))
123         m_port = 0;
124 }
125
126 SecurityOrigin::SecurityOrigin(const SecurityOrigin* other)
127     : m_protocol(other->m_protocol.threadsafeCopy())
128     , m_host(other->m_host.threadsafeCopy())
129     , m_domain(other->m_domain.threadsafeCopy())
130     , m_port(other->m_port)
131     , m_sandboxFlags(other->m_sandboxFlags)
132     , m_noAccess(other->m_noAccess)
133     , m_universalAccess(other->m_universalAccess)
134     , m_domainWasSetInDOM(other->m_domainWasSetInDOM)
135     , m_canLoadLocalResources(other->m_canLoadLocalResources)
136 {
137 }
138
139 bool SecurityOrigin::isEmpty() const
140 {
141     return m_protocol.isEmpty();
142 }
143
144 PassRefPtr<SecurityOrigin> SecurityOrigin::create(const KURL& url)
145 {
146     if (!url.isValid())
147         return adoptRef(new SecurityOrigin(KURL()));
148     return adoptRef(new SecurityOrigin(url));
149 }
150
151 PassRefPtr<SecurityOrigin> SecurityOrigin::createEmpty()
152 {
153     return create(KURL());
154 }
155
156 PassRefPtr<SecurityOrigin> SecurityOrigin::threadsafeCopy()
157 {
158     return adoptRef(new SecurityOrigin(this));
159 }
160
161 void SecurityOrigin::setDomainFromDOM(const String& newDomain)
162 {
163     m_domainWasSetInDOM = true;
164     m_domain = newDomain.lower();
165 }
166
167 bool SecurityOrigin::canAccess(const SecurityOrigin* other) const
168 {  
169     if (m_universalAccess)
170         return true;
171
172     if (m_noAccess || other->m_noAccess || isSandboxed(SandboxOrigin) || other->isSandboxed(SandboxOrigin))
173         return false;
174
175     // Here are two cases where we should permit access:
176     //
177     // 1) Neither document has set document.domain.  In this case, we insist
178     //    that the scheme, host, and port of the URLs match.
179     //
180     // 2) Both documents have set document.domain.  In this case, we insist
181     //    that the documents have set document.domain to the same value and
182     //    that the scheme of the URLs match.
183     //
184     // This matches the behavior of Firefox 2 and Internet Explorer 6.
185     //
186     // Internet Explorer 7 and Opera 9 are more strict in that they require
187     // the port numbers to match when both pages have document.domain set.
188     //
189     // FIXME: Evaluate whether we can tighten this policy to require matched
190     //        port numbers.
191     //
192     // Opera 9 allows access when only one page has set document.domain, but
193     // this is a security vulnerability.
194
195     if (m_protocol == other->m_protocol) {
196         if (!m_domainWasSetInDOM && !other->m_domainWasSetInDOM) {
197             if (m_host == other->m_host && m_port == other->m_port)
198                 return true;
199         } else if (m_domainWasSetInDOM && other->m_domainWasSetInDOM) {
200             if (m_domain == other->m_domain)
201                 return true;
202         }
203     }
204     
205     return false;
206 }
207
208 bool SecurityOrigin::canRequest(const KURL& url) const
209 {
210     if (m_universalAccess)
211         return true;
212
213     if (m_noAccess || isSandboxed(SandboxOrigin))
214         return false;
215
216     RefPtr<SecurityOrigin> targetOrigin = SecurityOrigin::create(url);
217     if (targetOrigin->m_noAccess)
218         return false;
219
220     // We call isSameSchemeHostPort here instead of canAccess because we want
221     // to ignore document.domain effects.
222     if (isSameSchemeHostPort(targetOrigin.get()))
223         return true;
224
225     if (OriginAccessWhiteList* list = originAccessMap().get(toString())) {
226         for (size_t i = 0; i < list->size(); ++i) {
227             if (list->at(i).matchesOrigin(*targetOrigin))
228                 return true;
229         }
230     }
231
232     return false;
233 }
234
235 bool SecurityOrigin::taintsCanvas(const KURL& url) const
236 {
237     if (canRequest(url))
238         return false;
239
240     // This method exists because we treat data URLs as noAccess, contrary
241     // to the current (9/19/2009) draft of the HTML5 specification.  We still
242     // want to let folks paint data URLs onto untainted canvases, so we special
243     // case data URLs below.  If we change to match HTML5 w.r.t. data URL
244     // security, then we can remove this method in favor of !canRequest.
245     if (url.protocolIs("data"))
246         return false;
247
248     return true;
249 }
250
251 bool SecurityOrigin::canLoad(const KURL& url, const String& referrer, Document* document)
252 {
253     if (!shouldTreatURLAsLocal(url.string()))
254         return true;
255
256     // If we were provided a document, we let its local file policy dictate the result,
257     // otherwise we allow local loads only if the supplied referrer is also local.
258     if (document)
259         return document->securityOrigin()->canLoadLocalResources();
260     if (!referrer.isEmpty())
261         return shouldTreatURLAsLocal(referrer);
262     return false;
263 }
264
265 void SecurityOrigin::grantLoadLocalResources()
266 {
267     // This method exists only to support backwards compatibility with older
268     // versions of WebKit.  Granting privileges to some, but not all, documents
269     // in a SecurityOrigin is a security hazard because the documents without
270     // the privilege can obtain the privilege by injecting script into the
271     // documents that have been granted the privilege.
272     ASSERT(allowSubstituteDataAccessToLocal());
273     m_canLoadLocalResources = true;
274 }
275
276 void SecurityOrigin::grantUniversalAccess()
277 {
278     m_universalAccess = true;
279 }
280
281 bool SecurityOrigin::isLocal() const
282 {
283     return shouldTreatURLSchemeAsLocal(m_protocol);
284 }
285
286 bool SecurityOrigin::isSecureTransitionTo(const KURL& url) const
287
288     // New window created by the application
289     if (isEmpty())
290         return true;
291
292     RefPtr<SecurityOrigin> other = SecurityOrigin::create(url);
293     return canAccess(other.get());
294 }
295
296 String SecurityOrigin::toString() const
297 {
298     if (isEmpty())
299         return "null";
300
301     if (m_noAccess || isSandboxed(SandboxOrigin))
302         return "null";
303
304     if (m_protocol == "file")
305         return String("file://");
306
307     Vector<UChar> result;
308     result.reserveInitialCapacity(m_protocol.length() + m_host.length() + 10);
309     append(result, m_protocol);
310     append(result, "://");
311     append(result, m_host);
312
313     if (m_port) {
314         append(result, ":");
315         append(result, String::number(m_port));
316     }
317
318     return String::adopt(result);
319 }
320
321 PassRefPtr<SecurityOrigin> SecurityOrigin::createFromString(const String& originString)
322 {
323     return SecurityOrigin::create(KURL(KURL(), originString));
324 }
325
326 static const char SeparatorCharacter = '_';
327
328 PassRefPtr<SecurityOrigin> SecurityOrigin::createFromDatabaseIdentifier(const String& databaseIdentifier)
329
330     // Make sure there's a first separator
331     int separator1 = databaseIdentifier.find(SeparatorCharacter);
332     if (separator1 == -1)
333         return create(KURL());
334         
335     // Make sure there's a second separator
336     int separator2 = databaseIdentifier.reverseFind(SeparatorCharacter);
337     if (separator2 == -1)
338         return create(KURL());
339         
340     // Ensure there were at least 2 separator characters. Some hostnames on intranets have
341     // underscores in them, so we'll assume that any additional underscores are part of the host.
342     if (separator1 == separator2)
343         return create(KURL());
344         
345     // Make sure the port section is a valid port number or doesn't exist
346     bool portOkay;
347     int port = databaseIdentifier.right(databaseIdentifier.length() - separator2 - 1).toInt(&portOkay);
348     bool portAbsent = (separator2 == static_cast<int>(databaseIdentifier.length()) - 1);
349     if (!(portOkay || portAbsent))
350         return create(KURL());
351     
352     if (port < 0 || port > 65535)
353         return create(KURL());
354         
355     // Split out the 3 sections of data
356     String protocol = databaseIdentifier.substring(0, separator1);
357     String host = databaseIdentifier.substring(separator1 + 1, separator2 - separator1 - 1);
358     return create(KURL(KURL(), protocol + "://" + host + ":" + String::number(port)));
359 }
360
361 String SecurityOrigin::databaseIdentifier() const 
362 {
363     DEFINE_STATIC_LOCAL(String, separatorString, (&SeparatorCharacter, 1));
364     return m_protocol + separatorString + m_host + separatorString + String::number(m_port); 
365 }
366
367 bool SecurityOrigin::equal(const SecurityOrigin* other) const 
368 {
369     if (other == this)
370         return true;
371     
372     if (!isSameSchemeHostPort(other))
373         return false;
374
375     if (m_domainWasSetInDOM != other->m_domainWasSetInDOM)
376         return false;
377
378     if (m_domainWasSetInDOM && m_domain != other->m_domain)
379         return false;
380
381     return true;
382 }
383
384 bool SecurityOrigin::isSameSchemeHostPort(const SecurityOrigin* other) const 
385 {
386     if (m_host != other->m_host)
387         return false;
388
389     if (m_protocol != other->m_protocol)
390         return false;
391
392     if (m_port != other->m_port)
393         return false;
394
395     return true;
396 }
397
398 void SecurityOrigin::registerURLSchemeAsLocal(const String& scheme)
399 {
400     localSchemes().add(scheme);
401 }
402
403 void SecurityOrigin::removeURLSchemeRegisteredAsLocal(const String& scheme)
404 {
405     if (scheme == "file")
406         return;
407 #if PLATFORM(MAC)
408     if (scheme == "applewebdata")
409         return;
410 #endif
411     localSchemes().remove(scheme);
412 }
413
414 const URLSchemesMap&  SecurityOrigin::localURLSchemes()
415 {
416     return localSchemes();
417 }
418
419 bool SecurityOrigin::shouldTreatURLAsLocal(const String& url)
420 {
421     // This avoids an allocation of another String and the HashSet contains()
422     // call for the file: and http: schemes.
423     if (url.length() >= 5) {
424         const UChar* s = url.characters();
425         if (s[0] == 'h' && s[1] == 't' && s[2] == 't' && s[3] == 'p' && s[4] == ':')
426             return false;
427         if (s[0] == 'f' && s[1] == 'i' && s[2] == 'l' && s[3] == 'e' && s[4] == ':')
428             return true;
429     }
430
431     int loc = url.find(':');
432     if (loc == -1)
433         return false;
434
435     String scheme = url.left(loc);
436     return localSchemes().contains(scheme);
437 }
438
439 bool SecurityOrigin::shouldTreatURLSchemeAsLocal(const String& scheme)
440 {
441     // This avoids an allocation of another String and the HashSet contains()
442     // call for the file: and http: schemes.
443     if (scheme.length() == 4) {
444         const UChar* s = scheme.characters();
445         if (s[0] == 'h' && s[1] == 't' && s[2] == 't' && s[3] == 'p')
446             return false;
447         if (s[0] == 'f' && s[1] == 'i' && s[2] == 'l' && s[3] == 'e')
448             return true;
449     }
450
451     if (scheme.isEmpty())
452         return false;
453
454     return localSchemes().contains(scheme);
455 }
456
457 void SecurityOrigin::registerURLSchemeAsNoAccess(const String& scheme)
458 {
459     noAccessSchemes().add(scheme);
460 }
461
462 bool SecurityOrigin::shouldTreatURLSchemeAsNoAccess(const String& scheme)
463 {
464     return noAccessSchemes().contains(scheme);
465 }
466
467 bool SecurityOrigin::shouldHideReferrer(const KURL& url, const String& referrer)
468 {
469     bool referrerIsSecureURL = protocolIs(referrer, "https");
470     bool referrerIsWebURL = referrerIsSecureURL || protocolIs(referrer, "http");
471
472     if (!referrerIsWebURL)
473         return true;
474
475     if (!referrerIsSecureURL)
476         return false;
477
478     bool URLIsSecureURL = url.protocolIs("https");
479
480     return !URLIsSecureURL;
481 }
482
483 void SecurityOrigin::setLocalLoadPolicy(LocalLoadPolicy policy)
484 {
485     localLoadPolicy = policy;
486 }
487
488 bool SecurityOrigin::restrictAccessToLocal()
489 {
490     return localLoadPolicy != SecurityOrigin::AllowLocalLoadsForAll;
491 }
492
493 bool SecurityOrigin::allowSubstituteDataAccessToLocal()
494 {
495     return localLoadPolicy != SecurityOrigin::AllowLocalLoadsForLocalOnly;
496 }
497
498 void SecurityOrigin::whiteListAccessFromOrigin(const SecurityOrigin& sourceOrigin, const String& destinationProtocol, const String& destinationDomains, bool allowDestinationSubdomains)
499 {
500     ASSERT(isMainThread());
501     ASSERT(!sourceOrigin.isEmpty());
502     if (sourceOrigin.isEmpty())
503         return;
504
505     String sourceString = sourceOrigin.toString();
506     OriginAccessWhiteList* list = originAccessMap().get(sourceString);
507     if (!list) {
508         list = new OriginAccessWhiteList;
509         originAccessMap().set(sourceString, list);
510     }
511     list->append(OriginAccessEntry(destinationProtocol, destinationDomains, allowDestinationSubdomains ? OriginAccessEntry::AllowSubdomains : OriginAccessEntry::DisallowSubdomains));
512 }
513
514 void SecurityOrigin::resetOriginAccessWhiteLists()
515 {
516     ASSERT(isMainThread());
517     OriginAccessMap& map = originAccessMap();
518     deleteAllValues(map);
519     map.clear();
520 }
521
522 } // namespace WebCore