« さきゅばす拡張とcoroidのCentOS対応 | トップページ | ハードディスク運が悪い その3 »

2010/05/04

JavaScriptにおけるローカルファイルアクセス権限のポリシー

 

以下の記述はjQueryを利用したときに発見したものなのですが、XMLHttpRequestももちろん影響を受けますし、その他にもJDKのJavadocなどframeで別ページを開いているようなものが、別ウィンドウ(別タブ)で表示されるようになる、といった変化が動作に現れるようです。

 

Web系の技術って、(開発に携わっていると大丈夫なんでしょうけど、)Webに書いてあることは仕様が決まったり当時騒がれてた時の情報だったりして、現在の仕様がどうなってるのかフォローアップするのが中々大変ですね…

JavaScriptにはsame-origin policy(オライリーのJavaScript第5版では”同一出身ポリシー”と訳されている)というものがある、ってのは理解していました。しかし、これってローカルファイルについては何も言っておらず、実際はどうなっているのか疑問でした。で、今回ハマったのでそのことを。

 

ローカルに置いたJavaScriptの中で、jQueryのload関数でローカルhtmlに表示を挿入しようとしました。

試してみたところ、Firefox3.6.4では想定通り挿入されるのですが、Google Chrome5.0.342.9では挿入されない。same-origin policy的にはなんとなく両方ローカルファイルだから大丈夫なんだろう、と考えていましたが実際ブラウザ間に差異が出たので調べてみました。

マイコミジャーナルの記事(及び原文”Security in Depth: Local Web Pages”)によると、

ローカルファイルに対しては「Same origin policy」は必ずしも有効になっておらず、ブラウザごとに対応はまちまちだ。

ということだそうです。

で、今回問題のGoogle Chromeのポリシーの記述を見ると、

ローカルWebページからのアクセスをローカルファイルシステム上のファイルに限定[中略]。開発の利便性や現状を加味してローカルWebページにおけるJavaScriptの実行は許可

ということで、Google Chromeにおいても、ポリシー的には動作しても良さそうに書いてあります。

その後、そういうことはTiddlyWiki(Wikipediaによる解説)を見ると良いよ、と教えてもらったので、検索してみたところ、TiddlyWikiをGoogle Chromeで利用する際の問題点が書かれたページがありました。

このページに記載されている内容のうち、--allow-file-access-from-files というオプションが気になったので調べてみたところ、5.0.335.0より動作が変わったようです。日付は2010年2月になっているので、結構最近ですね。

every HTML document hosted on a local file:// URI now lives in a unique domain. Old behavior can be re-enabled with the new flag --allow-file-access-from-files.

ローカルのファイルは全部バラバラの出身とみなすよ、ということでしょうか。ちなみにこの変更の元になったバグレポートはIssue4197かな?

ともかく、上記の起動引数を追加してやることでGoogle Chromeでも期待する動作になってくれました。

けど、ユーザにこんな面倒なことさせられないよな…

あと、JavaScriptってこういう場合には例外出してくれないんですね。JavaだとSecurityExceptionみたいなのを送出しそうですが。

« さきゅばす拡張とcoroidのCentOS対応 | トップページ | ハードディスク運が悪い その3 »

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18902/48261488

この記事へのトラックバック一覧です: JavaScriptにおけるローカルファイルアクセス権限のポリシー:

« さきゅばす拡張とcoroidのCentOS対応 | トップページ | ハードディスク運が悪い その3 »

other sites

  • follow us in feedly
  • github
  • stackoverflow

ソフトウェアエンジニアとして影響を受けた書籍

  • Christain Bauer: HIBERNATE イン アクション

    Christain Bauer: HIBERNATE イン アクション
    理論と実践が双方とも素晴らしい製品であるHibernate。本書はそのプロダクトを書名に冠していますが、Hibernateを使うつもりがなく、ORマッピングの解説書として読むにしても十分な良書です。Second EditionとしてJava Persistence With Hibernateという書籍も出版されていますが、残念ながら現在のところ 和訳はされていません。-インアクションは2.xの、Java Persistence-は3.1の頃のものなので、最新版とはちょっと違うところもあることに注意。 (★★★★★)

  • アンドリュー・S・タネンバウム: 分散システム 原理とパラダイム 第2版

    アンドリュー・S・タネンバウム: 分散システム 原理とパラダイム 第2版
    クライアント/サーバシステムを構築する上で必要となる知識が総論されてます。Web技術者も、フレームワーク部分を開発するのであれば必読。 (★★★★★)

  • Joel Spolsky∥著: ジョエル・オン・ソフトウェア

    Joel Spolsky∥著: ジョエル・オン・ソフトウェア
    前述の書籍「ソフトウエア開発プロフェッショナル」をより砕いたもの、という感じでしょうか。 前書きではプログラマでなくSE向けの本のように書かれているが、プログラマが読んでも面白い本であると思われます。 SEになった新人(あるいはそういう会社に入る/入りたての人)にとっては、これからどういったことが仕事を遂行していく上で起こりえるのか、どのように考えて行なっていけばいいのか決定する助けになると思います。 元は″Joel on Software″というブログの記事で、web上でも一部日本語で読めます。 http://japanese.joelonsoftware.com/ (★★★)

  • ドナルド・C・ゴース,ジェラルド・M・ワインバーグ: ライト、ついてますか

    ドナルド・C・ゴース,ジェラルド・M・ワインバーグ: ライト、ついてますか
    問題解決(一昔前のの流行語で言うところの『ソリューション』)能力は、システムエンジニアのスキルとして備えるべきもののうちのひとつです。しかし、これは難しい。学校で出されるテストと違い、唯一の、(問題提出者が想定している)解を求めるだけが「問題解決」では無いからです。そもそも、何が問題なのか、それは本当に問題なのか、それは本当に解決すべき問題なのか、その問題解決方法は正しいのか、などを解決しなければ、「その解は正しいのか」に辿りつくことができません。この本の最も良いところのひとつは、本があまり厚くないこと。すぐに読めるし、何回も読み返す気になるでしょう。 (★★★★★)

  • スティーブ・マコネル: ソフトウエア開発プロフェッショナル

    スティーブ・マコネル: ソフトウエア開発プロフェッショナル
    コードコンプリートで有名なスティーブマコネルの著書。新人SEに読んで欲しい。個人として業界の中でどうあるべきか、組織としてどうあるべきか、SEのプロ意識とは?SEの心構え概論、といったところでしょうか。また、業界における資格の重要性についても説かれています。この業界では資格が特に軽んじられる傾向がありますが、この傾向はどんな弊害をもたらすのか、将来的にこの業界は資格に対してどのような姿勢で臨んでいくべきなのか。日経BP社では(他の出版社もだが)最近、似たような類いのあまり面白くない書籍が乱出版されていますが、この本は別格だと思うので安心して購入して欲しいと思います。 (★★★★★)

無料ブログはココログ