堆栈内存溢出
  繁体   English   中英

如何在firefox插件sdk 1.10 main.js中使用nsIParserUtils?

[英]How to use nsIParserUtils inside firefox addon sdk 1.10 main.js?

 原文  2012-10-06 07:15:36       javascript/ dom/ firefox-addon/ firefox-addon-sdk

问题描述

我最近提交的Firefox附加站点(基于Firefox Add-on SDK 1.10)被拒绝,因为我没有清理我使用的输入,并建议使用nsIParserUtils

我在该页面中找到了函数parseHTML(doc, html, allowStyle, baseURI, isXML) 我改成了: 

function parseHTML(doc, html, allowStyle, baseURI, isXML) {
    var parser = Cc["@mozilla.org/parserutils;1"].getService(Ci.nsIParserUtils);
    var f =  parser.parseFragment(html, allowStyle ? parser.SanitizerAllowStyle : 0,
                                        !!isXML, baseURI, doc);
    return f;
}

并且其中的第一个参数被称为文档元素。 我不知道应该是什么? 我尝试了document.createDocumentFragment()但是我得到“ReferenceError:document not defined”错误。 有人可以帮助我如何调用此功能?

该函数返回一个nsIDOMDocumentFragment 如何将其转换回字符串?

更新:

正如@ zer0所建议我使用的: 

var parser = Cc["@mozilla.org/parserutils;1"].getService(Ci.nsIParserUtils);
var sanitizedHTML = parser.sanitize(html, flags);

但它违背了我想做的目的。 例如: 

<html><head><BASE href='http://localhost/t/h.html' />
<link rel="stylesheet" type="text/css" href="h.css">
<style type="text/css">
.b{
    color:green;
}
</style>
<base href="http://foo.example.com/">
</head><body>Sample Text. No Style
<script>Hello malicious code</script>
<p class="a">External Style</p>
<p class="b">Internal Style</p>
<p style="color:blue">Inline Style</p>

<a href="sample.html">Link</a><br><br><div style='color: #666666; font-size: 12px'>Clipped on 6-October-2012, 07:37:39 PM from <a href='http://localhost/t/h.html'>http://localhost/t/h.html</a> </div></body></html>

转换为: 

<html><head>  


<style type="text/css">
.b{

    color:green;
}
</style>



</head><body>Sample Text. No Style

<p class="a">External Style</p>
<p class="b">Internal Style</p>
<p style="color:blue">Inline Style</p>

<a>Link</a><br><br><div style="color: #666666; font-size: 12px">Clipped on 6-October-2012, 07:37:39 PM from <a href="http://localhost/t/h.html">http://localhost/t/h.html</a> </div></body></html>

由于这剥离了外部超链接和CSS,它违背了附加组件本身的目的。 我想要的只是删除脚本: 

<html><head><BASE href='http://localhost/t/h.html' /> <BASE href='http://localhost/t/h.html' /> 
<link rel="stylesheet" type="text/css" href="h.css">

<style type="text/css">
.b{

    color:green;
}
</style>
<base href="http://foo.example.com/">


</head><body>Sample Text. No Style
<p class="a">External Style</p>
<p class="b">Internal Style</p>
<p style="color:blue">Inline Style</p>

<a href="sample.html">Link</a><br><br><div style='color: #666666; font-size: 12px'>Clipped on 6-October-2012, 07:37:39 PM from <a href='http://localhost/t/h.html'>http://localhost/t/h.html</a> </div></body></html>

有人可以对此有所了解吗?

2 个解决方案

解决方案1
 3 已采纳  2012-10-12 13:39:31

由于某种原因,外部样式的链接被删除:外部样式无法验证,并且它们可能很危险(特别是, -moz-binding可用于运行代码)。 此外,假设您可以将HTML代码放入以下相对链接不安全的位置(例如Thunderbird中的邮件消息)。 绝对链接总是很好。

您可能想要做的是预处理HTML代码以消除这些问题 - 解析相对链接和内部对外部样式的引用。 像这样的东西: 

// Parse the HTML code into a temporary document
var doc = Cc["@mozilla.org/xmlextras/domparser;1"]
               .createInstance(Ci.nsIDOMParser)
               .parseFromString(html, "text/html");

// Make sure all links are absolute
for (var i = 0; i < doc.links.length; i++)
    doc.links[i].setAttribute("href", doc.links[i].href);

// Make sure all stylesheets are inlined
var stylesheets = doc.getElementsByTagName("link");
for (i = 0; i < stylesheets.length; i++)
{
    try
    {
        var request = new XMLHttpRequest();
        request.open("GET", stylesheets[i].href, false);
        request.send(null);
        var style = doc.createElement("style");
        style.setAttribute("type", "text/css");
        style.textContent = request.responseText;
        stylesheets[i].parentNode.replaceChild(style, stylesheets[i]);
        i--;
    }
    catch (e)
    {
        // Ignore download errors
    }
}

// Serialize the document into a string again
html = Cc["@mozilla.org/xmlextras/xmlserializer;1"]
         .createInstance(Ci.nsIDOMSerializer)
         .serializeToString(doc.documentElement);

// Now sanizite the HTML code
var parser = Cc["@mozilla.org/parserutils;1"].getService(Ci.nsIParserUtils);
var sanitizedHTML = parser.sanitize(html, parser.SanitizerAllowStyle);

请注意,我使用同步XMLHttpRequest来下载样式表内容 - 这是为了简单起见,您的最终代码应该使用不会挂起用户界面的异步下载(很可能通过request模块)。

解决方案2
 2  2012-10-06 10:11:02

并且其中的第一个参数被称为文档元素。 我不知道那是什么意思?

你不需要那个。 只需使用nsIParserUtils.sanitize方法,只需获取字符串作为输入并返回已清理版本的输出: 

var parser = Cc["@mozilla.org/parserutils;1"].getService(Ci.nsIParserUtils);
var sanitizedHTML = parser.sanitize(html, flags);

检查“常量”部分上方的链接,以查看您的方案中需要具有哪些标志。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 要访问Firefox插件SDK main.js文件中的自定义功能? 如何从firefox插件中的main.js调用内容脚本函数 firefox插件main.js显示相同的请求响应,未更新 插件SDK。 将main.js切成几个单元? 获取Firefox SDK main.js中某些文件的内容 在 Firefox Add-on SDK 扩展中是否可以在 bootstrap.js 和 main.js 之间进行通信? 如何从build / main.js内部的控制台访问函数 如何使用document.getElementById(“table-name”)。rows.length; 在Firefox Addon SDK扩展中 从插件main.js与页面工作人员进行通信 如何在main.js中使用DOM功能和jQuery?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM