VR
могу дать подсказку - это не работает в IE
Size: a a a
2018 November 20
2018 November 21
UT
Чёт все, все заглохли...
VR
ага :(
UT
Может postmessage?
VR
не. есть отдельный контекст, в который можно влезть через postMessage, действительно, но он айфреймовый - все равно будет в глобальном пространстве крутиться скрипт, который тебе любой метод сможет подменить
JD
не. есть отдельный контекст, в который можно влезть через postMessage, действительно, но он айфреймовый - все равно будет в глобальном пространстве крутиться скрипт, который тебе любой метод сможет подменить
document_start выполняется на стадии
loading, перед interactive. На сколько я знаю, браузер не выпоняет скрипты страницы на стадии loading. А значит скрипты плагина могут как угодно подменять апи браузера.AT
Чёт все, все заглохли...
все на зиронайтс? :)
VR
document_start выполняется на стадии
loading, перед interactive. На сколько я знаю, браузер не выпоняет скрипты страницы на стадии loading. А значит скрипты плагина могут как угодно подменять апи браузера.Да, я об этом и говорю. Если есть уверенность в том, что document.createElement не подменен, ещё можно что-то сделать, но в целом это проблема. Только в window можно выйти всегда, но у window можно почти все переопределить
VR
Есть способ сделать воркер, который за счёт ряда механизмов браузера будет нельзя подменить (только сломать), но это не то чтобы помогает. Разве что fetch можно надёжно сделать
ҪҸ
спойлеришь свой доклад на холи?
VR
скорее интригую. webworker как доверенный контекст у меня в решении не юзается
VR
в любом случае, ты ж его в харькове уже мог слышать
VR
на самом деле мне скорее крайне интересно, сможет ли кто-то найти решение с базовыми формулировками и установкой "так делать можно, но я не скажу как". хочу попробовать это решение куда-то продать на запад, и пытаюсь понять, можно ли по описанию того, что можно сделать, понять, как это должно работать.
JD
Есть способ сделать воркер, который за счёт ряда механизмов браузера будет нельзя подменить (только сломать), но это не то чтобы помогает. Разве что fetch можно надёжно сделать
Речь про сервис воркер? Я вот не знаю насколько там всё изолированно.
VR
бинго :)
VR
SW работает на том же уровне изоляции, что и обычные воркеры - в него не внедришься. и работать он начинает _до_ кода на странице. любого.
JD
SW работает на том же уровне изоляции, что и обычные воркеры - в него не внедришься. и работать он начинает _до_ кода на странице. любого.
Даже при первом заходе на страницу?
VR
нет
VR
у тебя sensitive data в принципе это производная от пользовательских действий, так что ты на самом деле не паришься о том, что происходит на первой загрузке, если надо что-то важное хранить
VR
верно?