Cross Site Scripting im FF oder "capability.policy&quot

rengert

Hallo,

eigentlich bin ich in einer anderen Community aktiv, glaube aber kaum, dass da einer soviel Ahnung vom FF hat, dass man mir bei meinem Problem helfen kann.

Na eigentlich ist es kein Cross Site Scripting.

[Edit]
Okay ich habe es jetzt soweit gewschafft einen Value ins Feld einzutragen, aber wenn ich ihn im nächsten Schritt mit alert ausgebe, ist er leer, obwohl der Wert im Inputfeld steht. Schicke ich das Formular ab, kommt auch nichts an.
Was ist da denn wieder los?
[/Edit]

Folgendes: Ich will meine Seite, in einem IFrame laden und auf Formularelemente zugreifen. Wäe ja kein so großer Akt, wenn die Seite mit dem iFrame nicht lokal gelagert wird.

Den Zugriff sperrt dann natürlich, auch aus gutem Grund. Ich will das Script aber nicht bei anderen Usern einsetzen und ihnen schaden, sondern bei mir lokal einsetzen ... und bevor es kommt, ich kkann das Script auch nicht auf den gleichen Server schieben ...

Ich habe mich ein bissl eingelesen und habe schon etwas rum probiert und folgende Einstellungen gemacht:
user_pref("capability.policy.default.HTMLDocument.getElementByName", "allAccess");
user_pref("capability.policy.default.HTMLFormElement", "allAccess");
user_pref("capability.policy.default.Window.getElementByName", "allAccess");

alle enden in
Fehler: uncaught exception: Die Erlaubnis für das Setzen der Eigenschaft Window.name wurde verweigert

oder

Fehler: uncaught exception: Die Erlaubnis für das Lesen der Eigenschaft HTMLDocument.__noSuchMethod__ wurde verweigert

Der letzte verwirrt mich aber, da ein koreekte Methode verwendet wird, aber sobald ich für die Methode den Eintrag oben schreibe ist es ne __nosuchMethod__

Für Window.status habe ich es hinbekommen, aber ich möchte halt den Zugriff auf meine Formulare.

Ich hoffe mich kann geholfen werden.

P.S: Ich weiß, dass ich wohl den IE nutzen kann, aber den möchte ich nicht auspacken, außerdem ist der Sicherheits mäßig "zugerammelt" und läßt gar kein scripting zu und das will ich ungern ändern.

P.S. Vielleich kann man ja schon was bei about:config machen, aber hab nichts gefunden.

Greetz Thomas
http://www.energie4ever.de.vu

Dr. Evil

versuche es mal mit security.checkloaduri auf false oder vielleicht auch mit dem Policy Manager

rengert

Dank für die Tipps, hatte ich noch nicht probiert. Hat aber leider nichts gebracht.

Testen tu ich dies mit:
meiniframe.document.forms[0].keywords.value="bla";
alert(meiniframe.document.forms[0].keywords.value);

Aber das Alertfenster bleibt leer.

Wenn ich
meiniframe.document.forms[0].submit();
wird zwar formular ausgeführt, aber das Zieldokument reagiert als wenn nichts eingegeben wurde. Aber optisch seh ich den Eintrag und wenn ich den submit-button manuell betätige funzt es ja auch

Greetz Thomas

Scheinmensch

Bist Du sicher, daß das nicht einfacher geht? Nämlich, wenn das Skript und das Formular im selben Dokument stehen, und der Frame nur als Target für die Ergebnisanzeige verwendet wird!
Ansonsten sag mal, was Du mit der Sache eigentlich bezweckst. Vielleicht bist Du unter "chrome" ja besser aufgehoben!

Gruß,
Scheinmensch

rengert

Das man da nicht selbst drauf kommt.

Nein das Script in die Seite einzufügen will ich nicht, da auf das Script keiner Zugriff haben soll. Aber wenn man das Script nicht dort einfügen kann, fügt man das Formular bei sich selbst ein

Greetz Thomas