藏井阁

" Scientists ask why, engineers ask why not? "

window.onerror

目前在做window.onerror时上报js错误信息的事,整理下相关资料。

语法使用

onerror 默认有三个入参:

  • msg: 错误信息
  • url:错误所在文件
  • line: 错误所在代码行,整型
window.onerror = function(msg, url, line){
  // some code
};

对于 <body onerror=”some code”>形式的,可以通过arguments[0]、arguments[1]、arguments[2]依次获取参数。

基本特性

可以通过设置returnValue=true,或直接return true来阻止浏览器显示错误信息。但不会阻止script debuggers弹出的调试框。

只有运行错误才会触发onerror,语法错误不会触发。

以下三种方式可以引发onerror:

  • 运行时错误,例如无效的对象引用或安全限制
  • 下载错误,如图片
  • 在IE9中,获取多媒体数据失败也会引发

<script> 标签不支持onerror。

定义在 <body> 标签上的onerror属性相当于window.onerror (经测试,Firefox、Opera支持,IE9、chrome无反应)。

浏览器兼容性

QuirksMode列出的各浏览器对onError的支持情况

  • Chrome 13+
  • Firefox 6.1+
  • Internet Explorer 5.5+
  • Safari 5.1+
  • Opera 11.61+ (QuirksMode 测试到11.51尚不支持,我手头上的11.61已支持)

除window对象外,支持 onerror 的元素:

  • <img> 全支持
  • <script> IE9/IE10/safari 5.1+/chrome 13+ 支持

<css> 和 <iframe> 不支持onerror。

问题与解决方案

对于引用外部js文件中的错误,WebkitMozilla类浏览器会篡改原始的错误信息,导致最后onerror获取到的三个入参为:

“Script error.”,””, 0

例如http://a.com/index.html,引入了http://b.com/g.js,如果g.js出错,最终传递到window.onerror的信息会被篡改。

浏览器之所以做这样的处理,是考虑到两个特性:

  • <script> 能执行非同源下的第三方js文件。
  • <script> 元素会忽略加载的文件的MIME类型,而当作脚本来执行。

在攻击场景中,恶意页面引入了正常页面的js文件,js文件会自动执行,若发生异常触发的报错信息,可能会泄漏某些敏感数据。这些信息最终会被恶意页面的window.onerror处理。

经测试,存在此特性的浏览器(当前最新版)有Firefox、Chrome、Safari、Opera。

Adam Barth(work on the security of the Chrome browser at Google)建议的解决方案是使用CORS (Cross-Origin Resource Sharing)。

简言之,当在页面中 <script> 引入外部js文件时,增加一个属性crossorigin(类似于<img> 的CROS属性)。服务器在接受到请求时,在HTTP Header里增加一个授权字段(值可以是具体的某个域名):

Access-Control-Allow-Origin: *

浏览器检测到此js已经授权此页面所在域名,则不用再篡改由此js传递到window.onerror的错误信息了。

经测试,此方案尚未被浏览器实现。
已经在Chrome、Firefox的较新版本中支持。

其他参考资料

Internet Explorer http://msdn.microsoft.com/en-us/library/cc197053.aspx

Mozilla Firefox https://developer.mozilla.org/en/DOM/window.onerror

Opera http://dev.opera.com/articles/view/better-error-handling-with-window-onerror/

Wiki http://www.w3.org/wiki/DOM/window.onerror

syntax errors and runtime errors http://www.htmlgoodies.com/primers/jsp/article.php/3610081/Javascript-Basics-Part-11.htm

类别: Web开发

Tags: Access-Control-Allow-Origin,crossorigin,onerror,Script error,window.onerror

damon pang

大魔

Damo

i#impng.com

专注Web开发,爱电影,爱One Piece.