WebKit 中如果绕过Origin Security访问本地资源

最新推荐文章于 2021-11-25 18:24:06 发布
最新推荐文章于 2021-11-25 18:24:06 发布
阅读量2.5k 收藏
点赞数
分类专栏: WebKit 文章标签: webkit security swt ubuntu jni safari
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbruce/article/details/7701918
版权

--前段日子,为了应聘某德国企业,废寝忘食的研究SWT和WebKIt原码,虽然应聘在最后的讨价还价关头失败了,不过技术积累还是有的,现在写一点皮毛,反馈一下无私的互联网。


问题是这样的对方应用的客户端是Java写,访问公司服务器上的JSP,而JSP中有代码需要访问客户端本地机上的图片资源,以后还需要访问本地系统中的css文件。

对方没有解析为何不把这些资源放在服务器上,我对此表示过怀疑,不过对方坚持这样的设计也没有详细解析。

原来客户端运行在Ubuntu上,嵌入了SWT浏览器,基于XUL Runner ,可以通过Pref来设置允许访问本地资源。

现在客户端的目标系统是Ubuntu 12 LTS,而Ubuntu 12后不自带XUL Runner,SWT要运行在很旧版本的XUL Runner上(1.9--2.x),这回造成维护的危机。

而且现在SWT更倾向于选择WebKit而非XUL作为Rendering Engine,于是对方CIO决定使用WebKit。

于是怎样使WebKit能够访问客户端本地机上的资源成了问题。


网上传说有个--disable-web-security的开关(switch)可以使用,于是尝试使用WebKit 作为内核的Chrome,chromium,Safari看能否通过这个开关参数访问,结果是不能,永远只有“Not allowed to load local resource: file:///",怀疑是否真的能够通过这个开关实现。

最低0.47元/天 解锁文章
很给力地生活着
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探索 Go WebKit:一款强大的 Go 语言 Web 浏览器引擎
gitblog_00058的博客
03-14 415
探索 Go WebKit:一款强大的 Go 语言 Web 浏览器引擎 如果你正在寻找一种更灵活、可扩展的方式来构建基于 Web 技术的应用程序,那么 Go WebKit 可能是你的理想选择。 什么是 Go WebKit? Go WebKit 是一个开源的 Go 语言库,它为开发者提供了WebKit浏览器内核的功能,可以用来渲染 HTML、CSS 和 JavaScript,并且支持硬件加速。这意味...
SecurityError:阻止了具有原点的框架访问跨域框架
w36680130的博客
05-02 3898
I am loading an <iframe> in my HTML page and trying to access the elements within it using Ja
URLs are treated as unique security origins.
soindy
05-04 4053
出于安全考虑,最新版的浏览器默认本地的 XML 已经不能访问本地的XSLT 文件了,不过 HTML 文件仍能访问项目目录下的 CSS 文件.解决办法:只需要本地起个server即可: 1. Python 2.x python -m SimpleHTTPServer Python 3.x python3 -m http.server然后访问: http://localhost:8000/yourfi
webkit允许跨域访问
weixin_30515513的博客
02-20 136
修改 bool SecurityOrigin::canAccess(const SecurityOrigin* other) const 这个函数,让其总是返回true即可. 比较暴力 转载于:https://www.cnblogs.com/baizx/archive/2011/02/20/1958828.html...
Qt学习webkit资源
最新发布
05-16
这个“Qt学习webkit资源包”提供了学习和探索Qt WebKit的相关资料,帮助开发者深入理解和应用这一功能。 首先,让我们了解Qt WebKit的基本概念。Qt WebKit是基于WebKit引擎的,WebKit是一个开源的Web浏览器渲染引擎...
text-security:跨浏览器替代-webkit-text-security
05-02
例如,为一个元素设置font-family: "text-security-disc"然后应该以隐藏的方式显示该元素的所有字符,就像它是一个密码字段一样。 如果您想获得input[type="password"]的好处,但又希望将其与其他元素类型(例如...
WebKit可用的CSS高级特性
12-12
WebKitSafari和Google Chrome浏览器的核心渲染引擎,这意味着在这些浏览器,开发者可以利用一系列CSS高级特性来提升网站和网络应用的视觉效果和用户体验。由于WebKit的广泛使用,尤其是Safari 3/4和Chrome 1.0/...
iOS9WebKitSafari带来的惊喜
09-03
在iOS9WebKit框架和Safari的更新为开发者带来了许多改进和新功能,极大地提升了在应用程序嵌入网页内容的体验。WebKit是苹果开发的一个开源网络内容渲染引擎,它负责处理网页的显示和交互,而...
修改UA在PC访问只能在微信打开的链接方法
08-28
在PC端,如果我们想访问只能在微信打开的链接,需要修改UA信息,使其看起来像微信或QQ内置浏览器的UA信息。 在 Chrome 浏览器,我们可以通过修改UA信息来访问只能在微信打开的链接。通常情况下,我们可以将UA...
安全机制
Steward2011的专栏
07-20 3494
安全机制包括两个不同的部分,第一是网页的安全,包括但是不限于网页数据安全传输、跨域访问、用户数据安全等,第二部分是游览器的安全,具体是指网页或者JavaScript代码有一些安全问题或者存在安全漏洞,游览器也能够在运行它们的时候保证自身的安全,不受攻击从而泄漏数据或者使系统破坏网页安全模型安全模型基础当用户访问网页的时候,游览器需要确保该网页数据的安全性,如Cookie、用户名和密码等信息不会被其
Chromium扩展(Extension)通信机制分析
热门推荐
老罗的Android之旅
10-10 6万+
Chromium的Extension由Page和Content Script组成。如果将Extension看作是一个App,那么Page和Content Script就是Extension的Module。既然是Module,就避免不了需要相互通信。也正是由于相互通信,使得它们形成一个完整的App。本文接下来就分析Extension的Page之间以及Page与Content Script之间的通信机制。
配置https后403的问题
解牛
11-25 5878
这里写自定义目录标题配置h新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 配置h 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一
如何在Spring Security 3.2设置Access-Control-Allow-Origin过滤器问题
W1948730080的博客
08-16 1780
http://www.voidcn.com/article/p-uyhpqctq-bts.html BrowserSecurityConfig的config方法的httpSecurity参数调用方法 .addFilterBefore(new CORSFilter(), UsernamePasswordAuthenticationFilter.class) CORSFilter @Compon...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
ajax请求绕过同源策略的实现
非著名coder的窝
05-18 3351
关于同源策略的问题可以参考:http://hcc0926.blog.51cto.com/172833/1557204虽然跨域的问题很多,但是有时候又无法避免这样的使用,比如说加载远程的一个json文件或者是远程的js文件,具体的用法如下:(1)使用jquery的ajax方法jQuery $.ajax()支持get方式的跨域,这其实是采用jsonp的方式来完成的. 加载远程文件代码示例如下:$.aja
webkit2gtk3实现跳过网页https认证(显示白屏)
FlayHigherGT的博客
04-14 1129
1、https跳过ca认证 通过webkit2gtk3实现网页之后遇到一个问题,就是在显示https网页的时候由于ca证书的问题,在正常浏览器上会提示非安全的网站,然后仍然打开就ok了,但是在webkit2gtk3网页上去始终出现白屏的情况,找了半天终于找到了忽略ca错误的接口, 在load url之前写: webkit_web_context_set_tls...
WEB 安全认证方式介绍+Spring Security 入门案例
qq_29342297的博客
10-31 859
WEB 安全认证 Http Basic Auth Http Basic Auth 就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,我们会在请求头看到多出的用Base64 加密的一串字符。为自己的访问凭证。但安全程度过低。 案例:在Tomcat配置Http Basic Auth 修改tomcat的conf目录下的tomcat-user.xml文件 <?xml version='1.0' encoding='utf-8'?> <tomc
-webkit-perspective-origin
08-25
-webkit-perspective-origin 是一个用于设置 3D 变换的视点位置的 CSS 属性。它可以用于设置元素的透视点相对于元素框的位置。 可以通过以下方式使用该属性: ```css .element { -webkit-perspective-origin: x-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值