Work with X-Frame-Options:deny on Chrome

[YungSang]

Chrome 26 で
「Refused to display 'http://www.tumblr.com/dashboard/3/48859274965' in a frame because it set 'X-Frame-Options' to 'deny'. 」
のエラーで読み込みが出来なくなっていました。
XMLHttpRequest を使って読みこむように変更しました。
createHTMLDocumentByString() を使っても上手くいかなかったので、
Taberareloo から createHTML() を持って来ました。

強引な感じでコードを汚してしまって申し訳ありません。
適宜見直して頂けると幸いです。
よろしくお願いします。

[swdyh]

パッチありがとうございます。このパッチでこのエラーは解消されるので適用したいんですが、別の事情があるので保留させてください。

別の事情というのは、AutoPagerizeの要件としてクロスオリジンからデータを取得した合に処理を止める必要があるんですが、XHRだとリダイレクトを経由したときにそれを判別できないという問題があります。
この問題は根が深くてややこしいんですが、将来的には解決する可能性はあるのでそれを待ちながらしばらくはiframeを使う予定でいます。

[YungSang]

なるほど。そういう要件があったのですね。
もしかしたら、webRequestBlocking の onBeforeRedirect と onBeforeRequest でブロック出来たら良さそうですね。
http://developer.chrome.com/extensions/webRequest.html

[YungSang]

あれ？ manifest.json の permissions に http://wedata.net/* しか書かれてないので、実質クロスドメインは出来ないんじゃないですか？

[YungSang]

req.responseType = 'document' を使うことによって、document オブジェクトを取得すると同時に、最終のドキュメントのURLがとれるのでそれでドメインのチェックが出来るようになったと思います。
Taberareloo からのコードも要らなくなり、コードもスッキリしました。
よろしくお願いします。

[YungSang]

あああ、すみません。余計なコメントをあっちでしてしまいました。。

[syoichi]

@YungSang
現在のChromeでは状況が異なるかもしれませんが、この問題に関しては以下の議論や@xKermanさんのポストが参考になるかもしれません。
swdyh/autopagerize_for_firefox#7
http://xkansan.tumblr.com/post/17767109559/xhr-redirect-same-origin-to-cross-origin
http://xkansan.tumblr.com/post/19043957246/xhr-finalurl-for-chrome-extension

[YungSang]

ありがとうございます。はい、私もそれを読んで、req.responseType = 'document' を試してみたところ良い感じだったので、再PRしてみました。

[swdyh]

アクセス先がAccess-Control-Allow-Originヘッダーでクロスオリジンのアクセスを許可している場合は、permissionと関係なくアクセスできるので、そういうケースを想定しています。

将来的に解決する可能性と書いたのは、documentTypeでdocumentを指定してresponse.URLを見る方法なんですが、実装に不備があるので採用していませんでした。

現状のChromeは、クロスオリジンへのリダイレクトはエラーになります。エラーになるのは都合が良いのですが、エラーになる理由がわかりません。CORSの仕様にリダイレクトでエラーにするということはなく、FirefoxやIEではエラーになりません。今後のアップデートでエラーが出なくなったとしても安全にできるということが必要だと思っています。

エラーがでなくなったとしてもresponse.URLをチェックしておけばいい、という手も考えられるんですが、現在のChromeは、セイムオリジンへリダイレクトしたときのresponse.URLはリダイレクト前のものを返していて、これと同じようになるとまずいです。クロスオリジンへのリダイレクトのエラーがなくなって、かつ、response.URLがリダイレクト後のURLを返すことが確認できたら、XHRを使って良いんじゃないかと考えています。

webRequestでやるのは考えたことがなかったです。こっちでいけるかもしれないですね、調べてみます。

リダイレクトとCORSとresponseTypeのdocument指定を組み合わせて実行するページを置きました。
http://autopagerize.net/cors.html

[YungSang]

何度もすみません。単純な話でなかったんですね。
いろいろご説明ありがとうございました。

[swdyh]

リダイレクトとresponse.URLがちゃんと機能していれば単純な話だったですけどね。

webRequestの方を調べてみたらブロックできそうでした。ありがとうございます。
permissionsにhttp://_/やhttps:///_を追加しないといけないのと、エラーがなくならないと実際にブロックが機能するかを試せないのが難点で、もう少し様子見しようと思います。

[YungSang]

permissionsにhttp:///やhttps:/// を追加するとエラーが無くなったりしませんかね？
どちらにしても Background でやらないとダメかも知れませんね。
よろしくお願いします。

[swdyh]

permissions足せばエラー消えますね。
content scriptでもbackgroundと同じようにpermissionが適用されたXHRが使えます。

webRequestでクロスオリジンアクセスをブロックするバージョンを作りました。
セキュリティに影響する変更なので、もう少し考えた上でマージするか決めようと思っています。

master...xhr_with_webRequest

[YungSang]

ありがとうございます。実装が素晴らしいですね。こちらでも試させてもらいますー

[xKerman]

req.responseType = 'document' を使うことによって、document オブジェクトを取得すると同時に、最終のドキュメントのURLがとれる

についてはドキュメントのURLの部分がまだ実装されていない (https://code.google.com/p/chromium/issues/detail?id=379676) ため利用できませんが、
今のstable (Chrome 37) から XMLHttpRequest.prototype.resopnseURL という、 finalURL の代わりに使えるプロパティが利用できるようになっています。
https://code.google.com/p/chromium/issues/detail?id=377583

このプロパティを使うと、下記のように実装できて X-Frame-Options: deny なページでも動作するようになるかと思います。
xKerman@77c04e7

[swdyh]

@xKerman Chromeもリリース版でresponseURL使えるんですね。素晴らしいです。
Chrome Web Storeはバージョンの統計情報がとれないみたいで、どのバージョンが使われているかはわからないんですが、互換性を考えつつresponseURLを使うようにしようと思います。