src/third_party/WebKit/Source/core/workers/AbstractWorker.cpp

   1 /*
   2  * Copyright (C) 2010 Google Inc. All rights reserved.
   3  *
   4  * Redistribution and use in source and binary forms, with or without
   5  * modification, are permitted provided that the following conditions are
   6  * met:
   7  *
   8  *     * Redistributions of source code must retain the above copyright
   9  * notice, this list of conditions and the following disclaimer.
  10  *     * Redistributions in binary form must reproduce the above
  11  * copyright notice, this list of conditions and the following disclaimer
  12  * in the documentation and/or other materials provided with the
  13  * distribution.
  14  *     * Neither the name of Google Inc. nor the names of its
  15  * contributors may be used to endorse or promote products derived from
  16  * this software without specific prior written permission.
  17  *
  18  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
  19  * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
  20  * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
  21  * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
  22  * OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  23  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
  24  * LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
  25  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
  26  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
  27  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
  28  * OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  29  */
  30
  31 #include "config.h"
  32 #include "core/workers/AbstractWorker.h"
  33
  34 #include "bindings/v8/ExceptionState.h"
  35 #include "core/dom/ExceptionCode.h"
  36 #include "core/dom/ExecutionContext.h"
  37 #include "core/events/ThreadLocalEventNames.h"
  38 #include "core/frame/ContentSecurityPolicy.h"
  39 #include "weborigin/SecurityOrigin.h"
  40
  41 namespace WebCore {
  42
  43 AbstractWorker::AbstractWorker(ExecutionContext* context)
  44     : ActiveDOMObject(context)
  45 {
  46 }
  47
  48 AbstractWorker::~AbstractWorker()
  49 {
  50 }
  51
  52 void AbstractWorker::contextDestroyed()
  53 {
  54     ActiveDOMObject::contextDestroyed();
  55 }
  56
  57 KURL AbstractWorker::resolveURL(const String& url, ExceptionState& es)
  58 {
  59     if (url.isEmpty()) {
  60         es.throwDOMException(SyntaxError, "Failed to create a worker: an empty URL was provided.");
  61         return KURL();
  62     }
  63
  64     // FIXME: This should use the dynamic global scope (bug #27887)
  65     KURL scriptURL = executionContext()->completeURL(url);
  66     if (!scriptURL.isValid()) {
  67         es.throwDOMException(SyntaxError, "Failed to create a worker: '" + url + "' is not a valid URL.");
  68         return KURL();
  69     }
  70
  71     // We can safely expose the URL in the following exceptions, as these checks happen synchronously before redirection. JavaScript receives no new information.
  72     if (!executionContext()->securityOrigin()->canRequest(scriptURL)) {
  73         es.throwSecurityError("Failed to create a worker: script at '" + scriptURL.elidedString() + "' cannot be accessed from origin '" + executionContext()->securityOrigin()->toString() + "'.");
  74         return KURL();
  75     }
  76
  77     if (executionContext()->contentSecurityPolicy() && !executionContext()->contentSecurityPolicy()->allowScriptFromSource(scriptURL)) {
  78         es.throwSecurityError("Failed to create a worker: access to the script at '" + scriptURL.elidedString() + "' is denied by the document's Content Security Policy.");
  79         return KURL();
  80     }
  81
  82     return scriptURL;
  83 }
  84
  85 } // namespace WebCore