2011-02-04 Adam Barth <abarth@webkit.org>
[WebKit.git] / Source / WebCore / html / parser / XSSFilter.cpp
1 /*
2  * Copyright (C) 2011 Adam Barth. All Rights Reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  * 1. Redistributions of source code must retain the above copyright
8  *    notice, this list of conditions and the following disclaimer.
9  * 2. Redistributions in binary form must reproduce the above copyright
10  *    notice, this list of conditions and the following disclaimer in the
11  *    documentation and/or other materials provided with the distribution.
12  *
13  * THIS SOFTWARE IS PROVIDED BY APPLE INC. ``AS IS'' AND ANY
14  * EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
15  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
16  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL APPLE INC. OR
17  * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
18  * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
19  * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
20  * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
21  * OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
22  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
23  * OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
24  */
25
26 #include "config.h"
27 #include "XSSFilter.h"
28
29 #include "DOMWindow.h"
30 #include "Document.h"
31 #include "DocumentLoader.h"
32 #include "Frame.h"
33 #include "HTMLDocumentParser.h"
34 #include "HTMLNames.h"
35 #include "HTMLParamElement.h"
36 #include "HTMLParserIdioms.h"
37 #include "Settings.h"
38 #include "TextEncoding.h"
39 #include "TextResourceDecoder.h"
40 #include <wtf/text/CString.h>
41
42 namespace WebCore {
43
44 using namespace HTMLNames;
45
46 namespace {
47
48 bool isNonCanonicalCharacter(UChar c)
49 {
50     // We remove all non-ASCII characters, including non-printable ASCII characters.
51     //
52     // Note, we don't remove backslashes like PHP stripslashes(), which among other things converts "\\0" to the \0 character.
53     // Instead, we remove backslashes and zeros (since the string "\\0" =(remove backslashes)=> "0"). However, this has the 
54     // adverse effect that we remove any legitimate zeros from a string.
55     //
56     // For instance: new String("http://localhost:8000") => new String("http://localhost:8").
57     return (c == '\\' || c == '0' || c == '\0' || c >= 127);
58 }
59
60 String canonicalize(const String& string)
61 {
62     return string.removeCharacters(&isNonCanonicalCharacter);
63 }
64
65 bool isRequiredForInjection(UChar c)
66 {
67     return (c == '\'' || c == '"' || c == '<' || c == '>');
68 }
69
70 bool hasName(const HTMLToken& token, const QualifiedName& name)
71 {
72     return equalIgnoringNullity(token.name(), static_cast<const String&>(name.localName()));
73 }
74
75 bool findAttributeWithName(const HTMLToken& token, const QualifiedName& name, size_t& indexOfMatchingAttribute)
76 {
77     for (size_t i = 0; i < token.attributes().size(); ++i) {
78         if (equalIgnoringNullity(token.attributes().at(i).m_name, name.localName())) {
79             indexOfMatchingAttribute = i;
80             return true;
81         }
82     }
83     return false;
84 }
85
86 bool isNameOfInlineEventHandler(const Vector<UChar, 32>& name)
87 {
88     const size_t lengthOfShortestInlineEventHandlerName = 5; // To wit: oncut.
89     if (name.size() < lengthOfShortestInlineEventHandlerName)
90         return false;
91     return name[0] == 'o' && name[1] == 'n';
92 }
93
94 bool containsJavaScriptURL(const Vector<UChar, 32>& value)
95 {
96     static const char javaScriptScheme[] = "javascript:";
97     static const size_t lengthOfJavaScriptScheme = sizeof(javaScriptScheme) - 1;
98
99     size_t i;
100     for (i = 0; i < value.size(); ++i) {
101         if (!isHTMLSpace(value[i]))
102             break;
103     }
104
105     if (value.size() - i < lengthOfJavaScriptScheme)
106         return false;
107
108     return equalIgnoringCase(value.data() + i, javaScriptScheme, lengthOfJavaScriptScheme);
109 }
110
111 String decodeURL(const String& string, const TextEncoding& encoding)
112 {
113     String workingString = string;
114     workingString.replace('+', ' ');
115     workingString = decodeURLEscapeSequences(workingString);
116     CString workingStringUTF8 = workingString.utf8();
117     String decodedString = encoding.decode(workingStringUTF8.data(), workingStringUTF8.length());
118     // FIXME: Is this check necessary?
119     if (decodedString.isEmpty())
120         return canonicalize(workingString);
121     return canonicalize(decodedString);
122 }
123
124 }
125
126 XSSFilter::XSSFilter(HTMLDocumentParser* parser)
127     : m_parser(parser)
128     , m_isEnabled(false)
129     , m_xssProtection(XSSProtectionEnabled)
130     , m_state(Uninitialized)
131 {
132     ASSERT(m_parser);
133     if (Frame* frame = parser->document()->frame()) {
134         if (Settings* settings = frame->settings())
135             m_isEnabled = settings->xssAuditorEnabled();
136     }
137     // Although tempting to call init() at this point, the various objects
138     // we want to reference might not all have been constructed yet.
139 }
140
141 void XSSFilter::init()
142 {
143     const size_t miniumLengthForSuffixTree = 512; // FIXME: Tune this parameter.
144     const int suffixTreeDepth = 5;
145
146     ASSERT(m_state == Uninitialized);
147     m_state = Initial;
148
149     if (!m_isEnabled)
150         return;
151     
152     // In theory, the Document could have detached from the Frame after the
153     // XSSFilter was constructed.
154     if (!m_parser->document()->frame()) {
155         m_isEnabled = false;
156         return;
157     }
158
159     const KURL& url = m_parser->document()->url();
160
161     if (url.protocolIsData()) {
162         m_isEnabled = false;
163         return;
164     }
165
166     TextResourceDecoder* decoder = m_parser->document()->decoder();
167     m_decodedURL = decoder ? decodeURL(url.string(), decoder->encoding()) : url.string();
168     if (m_decodedURL.find(isRequiredForInjection, 0) == notFound)
169         m_decodedURL = String();
170
171     if (DocumentLoader* documentLoader = m_parser->document()->frame()->loader()->documentLoader()) {
172         DEFINE_STATIC_LOCAL(String, XSSProtectionHeader, ("X-XSS-Protection"));
173         m_xssProtection = parseXSSProtectionHeader(documentLoader->response().httpHeaderField(XSSProtectionHeader));
174
175         FormData* httpBody = documentLoader->originalRequest().httpBody();
176         if (httpBody && !httpBody->isEmpty()) {
177             String httpBodyAsString = httpBody->flattenToString();
178             m_decodedHTTPBody = decoder ? decodeURL(httpBodyAsString, decoder->encoding()) : httpBodyAsString;
179             if (m_decodedHTTPBody.find(isRequiredForInjection, 0) == notFound)
180                 m_decodedHTTPBody = String();
181             if (m_decodedHTTPBody.length() >= miniumLengthForSuffixTree)
182                 m_decodedHTTPBodySuffixTree = adoptPtr(new SuffixTree<ASCIICodebook>(m_decodedHTTPBody, suffixTreeDepth));
183         }
184     }
185
186     if (m_decodedURL.isEmpty() && m_decodedHTTPBody.isEmpty())
187         m_isEnabled = false;
188 }
189
190 void XSSFilter::filterToken(HTMLToken& token)
191 {
192     if (m_state == Uninitialized) {
193         init();
194         ASSERT(m_state == Initial);
195     }
196
197     if (!m_isEnabled || m_xssProtection == XSSProtectionDisabled)
198         return;
199
200     bool didBlockScript = false;
201
202     switch (m_state) {
203     case Uninitialized:
204         ASSERT_NOT_REACHED();
205         break;
206     case Initial: 
207         didBlockScript = filterTokenInitial(token);
208         break;
209     case AfterScriptStartTag:
210         didBlockScript = filterTokenAfterScriptStartTag(token);
211         ASSERT(m_state == Initial);
212         m_cachedSnippet = String();
213         break;
214     }
215
216     if (didBlockScript) {
217         // FIXME: Consider using a more helpful console message.
218         DEFINE_STATIC_LOCAL(String, consoleMessage, ("Refused to execute a JavaScript script. Source code of script found within request.\n"));
219         // FIXME: We should add the real line number to the console.
220         m_parser->document()->domWindow()->console()->addMessage(JSMessageSource, LogMessageType, ErrorMessageLevel, consoleMessage, 1, String());
221
222         if (m_xssProtection == XSSProtectionBlockEnabled) {
223             m_parser->document()->frame()->loader()->stopAllLoaders();
224             m_parser->document()->frame()->navigationScheduler()->scheduleLocationChange(m_parser->document()->securityOrigin(), blankURL(), String());
225         }
226     }
227 }
228
229 bool XSSFilter::filterTokenInitial(HTMLToken& token)
230 {
231     ASSERT(m_state == Initial);
232
233     if (token.type() != HTMLToken::StartTag)
234         return false;
235
236     bool didBlockScript = eraseDangerousAttributesIfInjected(token);
237
238     if (hasName(token, scriptTag))
239         didBlockScript |= filterScriptToken(token);
240     else if (hasName(token, objectTag))
241         didBlockScript |= filterObjectToken(token);
242     else if (hasName(token, paramTag))
243         didBlockScript |= filterParamToken(token);
244     else if (hasName(token, embedTag))
245         didBlockScript |= filterEmbedToken(token);
246     else if (hasName(token, appletTag))
247         didBlockScript |= filterAppletToken(token);
248     else if (hasName(token, metaTag))
249         didBlockScript |= filterMetaToken(token);
250     else if (hasName(token, baseTag))
251         didBlockScript |= filterBaseToken(token);
252
253     return didBlockScript;
254 }
255
256 bool XSSFilter::filterTokenAfterScriptStartTag(HTMLToken& token)
257 {
258     ASSERT(m_state == AfterScriptStartTag);
259     m_state = Initial;
260
261     if (token.type() != HTMLToken::Character) {
262         ASSERT(token.type() == HTMLToken::EndTag || token.type() == HTMLToken::EndOfFile);
263         return false;
264     }
265
266     int start = 0;
267     // FIXME: We probably want to grab only the first few characters of the
268     //        contents of the script element.
269     int end = token.endIndex() - token.startIndex();
270     if (isContainedInRequest(m_cachedSnippet + snippetForRange(token, start, end))) {
271         token.eraseCharacters();
272         token.appendToCharacter(' '); // Technically, character tokens can't be empty.
273         return true;
274     }
275     return false;
276 }
277
278 bool XSSFilter::filterScriptToken(HTMLToken& token)
279 {
280     ASSERT(m_state == Initial);
281     ASSERT(token.type() == HTMLToken::StartTag);
282     ASSERT(hasName(token, scriptTag));
283
284     if (eraseAttributeIfInjected(token, srcAttr, blankURL().string()))
285         return true;
286
287     m_state = AfterScriptStartTag;
288     m_cachedSnippet = m_parser->sourceForToken(token);
289     return false;
290 }
291
292 bool XSSFilter::filterObjectToken(HTMLToken& token)
293 {
294     ASSERT(m_state == Initial);
295     ASSERT(token.type() == HTMLToken::StartTag);
296     ASSERT(hasName(token, objectTag));
297
298     bool didBlockScript = false;
299
300     didBlockScript |= eraseAttributeIfInjected(token, dataAttr, blankURL().string());
301     didBlockScript |= eraseAttributeIfInjected(token, typeAttr);
302     didBlockScript |= eraseAttributeIfInjected(token, classidAttr);
303
304     return didBlockScript;
305 }
306
307 bool XSSFilter::filterParamToken(HTMLToken& token)
308 {
309     ASSERT(m_state == Initial);
310     ASSERT(token.type() == HTMLToken::StartTag);
311     ASSERT(hasName(token, paramTag));
312
313     size_t indexOfNameAttribute;
314     if (!findAttributeWithName(token, nameAttr, indexOfNameAttribute))
315         return false;
316
317     const HTMLToken::Attribute& nameAttribute = token.attributes().at(indexOfNameAttribute);
318     String name = String(nameAttribute.m_value.data(), nameAttribute.m_value.size());
319
320     if (!HTMLParamElement::isURLParameter(name))
321         return false;
322
323     return eraseAttributeIfInjected(token, valueAttr, blankURL().string());
324 }
325
326 bool XSSFilter::filterEmbedToken(HTMLToken& token)
327 {
328     ASSERT(m_state == Initial);
329     ASSERT(token.type() == HTMLToken::StartTag);
330     ASSERT(hasName(token, embedTag));
331
332     bool didBlockScript = false;
333
334     didBlockScript |= eraseAttributeIfInjected(token, srcAttr, blankURL().string());
335     didBlockScript |= eraseAttributeIfInjected(token, typeAttr);
336
337     return didBlockScript;
338 }
339
340 bool XSSFilter::filterAppletToken(HTMLToken& token)
341 {
342     ASSERT(m_state == Initial);
343     ASSERT(token.type() == HTMLToken::StartTag);
344     ASSERT(hasName(token, appletTag));
345
346     bool didBlockScript = false;
347
348     didBlockScript |= eraseAttributeIfInjected(token, codeAttr);
349     didBlockScript |= eraseAttributeIfInjected(token, objectAttr);
350
351     return didBlockScript;
352 }
353
354 bool XSSFilter::filterMetaToken(HTMLToken& token)
355 {
356     ASSERT(m_state == Initial);
357     ASSERT(token.type() == HTMLToken::StartTag);
358     ASSERT(hasName(token, metaTag));
359
360     return eraseAttributeIfInjected(token, http_equivAttr);
361 }
362
363 bool XSSFilter::filterBaseToken(HTMLToken& token)
364 {
365     ASSERT(m_state == Initial);
366     ASSERT(token.type() == HTMLToken::StartTag);
367     ASSERT(hasName(token, baseTag));
368
369     return eraseAttributeIfInjected(token, hrefAttr);
370 }
371
372 bool XSSFilter::eraseDangerousAttributesIfInjected(HTMLToken& token)
373 {
374     DEFINE_STATIC_LOCAL(String, safeJavaScriptURL, ("javascript:void(0)"));
375
376     bool didBlockScript = false;
377     for (size_t i = 0; i < token.attributes().size(); ++i) {
378         const HTMLToken::Attribute& attribute = token.attributes().at(i);
379         bool isInlineEventHandler = isNameOfInlineEventHandler(attribute.m_name);
380         bool valueContainsJavaScriptURL = isInlineEventHandler ? false : containsJavaScriptURL(attribute.m_value);
381         if (!isInlineEventHandler && !valueContainsJavaScriptURL)
382             continue;
383         if (!isContainedInRequest(snippetForAttribute(token, attribute)))
384             continue;
385         token.eraseValueOfAttribute(i);
386         if (valueContainsJavaScriptURL)
387             token.appendToAttributeValue(i, safeJavaScriptURL);
388         didBlockScript = true;
389     }
390     return didBlockScript;
391 }
392
393 bool XSSFilter::eraseAttributeIfInjected(HTMLToken& token, const QualifiedName& attributeName, const String& replacementValue)
394 {
395     size_t indexOfAttribute;
396     if (findAttributeWithName(token, attributeName, indexOfAttribute)) {
397         const HTMLToken::Attribute& attribute = token.attributes().at(indexOfAttribute);
398         if (isContainedInRequest(snippetForAttribute(token, attribute))) {
399             if (attributeName == srcAttr && isSameOriginResource(String(attribute.m_value.data(), attribute.m_value.size())))
400                 return false;
401             token.eraseValueOfAttribute(indexOfAttribute);
402             if (!replacementValue.isEmpty())
403                 token.appendToAttributeValue(indexOfAttribute, replacementValue);
404             return true;
405         }
406     }
407     return false;
408 }
409
410 String XSSFilter::snippetForRange(const HTMLToken& token, int start, int end)
411 {
412     // FIXME: There's an extra allocation here that we could save by
413     //        passing the range to the parser.
414     return m_parser->sourceForToken(token).substring(start, end - start);
415 }
416
417 String XSSFilter::snippetForAttribute(const HTMLToken& token, const HTMLToken::Attribute& attribute)
418 {
419     // FIXME: We should grab one character before the name also.
420     int start = attribute.m_nameRange.m_start - token.startIndex();
421     // FIXME: We probably want to grab only the first few characters of the attribute value.
422     int end = attribute.m_valueRange.m_end - token.startIndex();
423     return snippetForRange(token, start, end);
424 }
425
426 bool XSSFilter::isContainedInRequest(const String& snippet)
427 {
428     ASSERT(!snippet.isEmpty());
429     String canonicalizedSnippet = canonicalize(snippet);
430     ASSERT(!canonicalizedSnippet.isEmpty());
431     if (m_decodedURL.find(canonicalizedSnippet, 0, false) != notFound)
432         return true;
433     if (m_decodedHTTPBodySuffixTree && !m_decodedHTTPBodySuffixTree->mightContain(canonicalizedSnippet))
434         return false;
435     return m_decodedHTTPBody.find(canonicalizedSnippet, 0, false) != notFound;
436 }
437
438 bool XSSFilter::isSameOriginResource(const String& url)
439 {
440     // If the resource is loaded from the same URL as the enclosing page, it's
441     // probably not an XSS attack, so we reduce false positives by allowing the
442     // request. If the resource has a query string, we're more suspicious,
443     // however, because that's pretty rare and the attacker might be able to
444     // trick a server-side script into doing something dangerous with the query
445     // string.
446     KURL resourceURL(m_parser->document()->url(), url);
447     return (m_parser->document()->url().host() == resourceURL.host() && resourceURL.query().isEmpty());
448 }
449
450 }