sterngucker: Chrome und SOP

Hallo in die Runde,

bei der Entwicklung eines aktuellen Projektes ist mir folgendes Verhalten bezüglich der "same origin policy" im Browser Chrome (5) aufgefallen:
In einem XHTML-Dokument wird per Javascript auf eine (Javascript) Variable in einem Iframe zugriffen und umgekehrt. Via http ist das kein Problem (der selbe Server/Domain). Wird die Seite jedoch lokal aufgerufen (das selbe Verzeichnis auf der Platte) meldet Chrome eine Sicherheitsverletzung und verweigert den Zugriff. Ein Problem ist das insofern, als dass dieses Projekt nicht im Web, sondern auf CD veröffentlicht wird.

Meine Frage: Ist noch jemandem dieses Problem begegnet und kennt eventuell eine Lösung?

Grüße
Michael

  1. Hi,

    In einem XHTML-Dokument wird per Javascript auf eine (Javascript) Variable in einem Iframe zugriffen und umgekehrt. Via http ist das kein Problem (der selbe Server/Domain). Wird die Seite jedoch lokal aufgerufen (das selbe Verzeichnis auf der Platte) meldet Chrome eine Sicherheitsverletzung und verweigert den Zugriff.

    Meine Frage: Ist noch jemandem dieses Problem begegnet

    Sieht so aus - http://www.google.com/search?q=chrome+same+origin+policy+local+files

    und kennt eventuell eine Lösung?

    Nein.
    Zugriff auf lokale Ressourcen per JavaScript stellt eine Sicherheitslücke dar - du könntest lokale Dateien (ggf. bekannte, OS-spezifische; oder „geratene“ Dateipfade) in einem Iframe einbinden, und die Inhalte auslesen.

    Ein Problem ist das insofern, als dass dieses Projekt nicht im Web, sondern auf CD veröffentlicht wird.

    Dann überlege, ob du entweder einen direkt von CD startbaren Webserver dazu packst; oder eine andere, geeignetere Technik wählst (ggf. haben kompilierte CHM-Hilfedateien dieses Problem nicht, o.ä.).

    MfG ChrisB

    --
    RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?
    1. Hallo ChrisB,

      danke für die Infos und Tipps!

      Sieht so aus - http://www.google.com/search?q=chrome+same+origin+policy+local+files

      Jaja- googeln hilft :-)

      Viele Grüße
      Michael

  2. Hallo,

    In einem XHTML-Dokument wird per Javascript auf eine (Javascript) Variable in einem Iframe zugriffen und umgekehrt. Via http ist das kein Problem (der selbe Server/Domain). Wird die Seite jedoch lokal aufgerufen (das selbe Verzeichnis auf der Platte) meldet Chrome eine Sicherheitsverletzung und verweigert den Zugriff.

    ich zitiere aus http://googlechromereleases.blogspot.com/2010/02/dev-channel-update_24.html:

    <zitat>
        Notable behavior change: every HTML document hosted on a local file:// URI
        now lives in a unique domain. Old behavior can be re-enabled with the new
        flag --allow-file-access-from-files. For a cross-browser discussion on
        background, please see http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html
    </zitat>

    Ein Problem ist das insofern, als dass dieses Projekt nicht im Web, sondern auf CD veröffentlicht wird.
    Meine Frage: Ist noch jemandem dieses Problem begegnet und kennt eventuell eine Lösung?

    Wie wäre es mit einem Hinweis für Chrome-User und entsprechenden Startdateien für die Anwendung für diverse Betriebssysteme (Batchdatei, Shellscript, ...).

    Freundliche Grüße

    Vinzenz