无法从 Chrome 64 中的本地 css 文件访问 cssRules

【问题标题】:Cannot access cssRules from local css file in Chrome 64无法从 Chrome 64 中的本地 css 文件访问 cssRules
【发布时间】:2018-07-23 01:10:32
【问题描述】:

这是一个简单的问题示例:

<html>
<head>
<link rel='stylesheet' href='myStyle.css'>
<script>
window.onload=function(){
    try{
        alert(document.styleSheets[0]); // works
        alert(document.styleSheets[0].cssRules); // doesn't even print undefined
    }catch(e){alert(e);} // catch and alert the error
}
</script>
</head>
<body>
</body>
</html>

myStyle.css body{background-color:green;}

该脚本适用于&lt;style&gt;&lt;/style&gt;

解决方案:

  1. 当文件在线/本地主机时工作。
  2. 适用于其他浏览器。 (即 Internet Explorer、Microsoft Edge、Firefox)
  3. chrome --allow-file-access-from-files

【问题讨论】:

  • 开发工具中的网络选项卡说什么,样式表加载了吗?
  • 样式表已加载。
  • 那么控制台中有错误消息吗?
  • 未捕获的 DOMException:无法从“CSSStyleSheet”读取“cssRules”属性:无法访问 window.onload 中的规则
  • 您的浏览器仍然丢失,我的机器上安装的任何浏览器都无法重现该问题...甚至在 IE 中也无法重现。

标签: javascript html css google-chrome cors


【解决方案1】:

TL;DR:从 Chrome 64 开始,您需要使用本地开发服务器来测试依赖于 CSS 对象模型的功能。

在从本地文件系统加载的样式表中访问 CSS 规则违反了 Cross-Origin Resource Sharing (CORS) 政策 - 但 Chrome 直到最近才强制执行此规定,其他浏览器似乎还没有强制执行。

Chrome 64.0.3282.0(2018 年 1 月发布,full change list)包含对样式表安全规则的更改。我在任何比完整提交列表更详细的更改日志中都找不到此更改。

描述了 Chromium 中的提交 a4ebe08

更新 CSSStyleSheet 的行为以匹配安全来源的规范

规格在这里: https://www.w3.org/TR/cssom-1/#the-cssstylesheet-interface

更新:如果以下方法现在抛出 SecurityError 样式表不可访问:

  • cssRules() / rules()
  • 插入规则()
  • 删除规则()

此提交是对错误 Security: Inconsistent CORS implementation regarding CSS and the link element. 的修复。链接的 W3C 规范详细描述了使用 CSS 对象模型需要同源访问的地方。

这是一个真正的安全约束,您发布的解决方案(在线/本地主机)可能是最典型的解决方法。有关更多信息,请查看 MDN 的 How do you set up a local testing server? - 它讨论了为什么以及如何使用本地开发服务器来避免 CORS 问题。

也就是说,围绕这一变化仍有一些悬而未决的问题和争论。

  • This comment 在原始安全漏洞上抱怨说,现在检测样式表无法从 JavaScript 访问的唯一方法是使用 try/catch
  • 1 月 23 日发现的 Chromium 错误 (document.styleSheets.cssRules is null even with Access-Control-Allow-Origin: *) 表明新的安全规则可能存在实施问题,会破坏某些解决方法。
  • 正在实施的规范看起来相当稳定,但它仍然处于“工作草案”状态,所以谁知道它将在哪里登陆以及其他浏览器将实施什么。

【讨论】:

  • 这一切都很好,但是为什么通过 FILE:// 协议从本地加载的文档(例如 SVG 图形)访问 CSS 文件会触发 CORS 违规?我正在通过 Windows 文件资源管理器(例如用 Chrome 打开)从我的本地文件系统 (graphic.svg) 查看 SVG 图形。 SVG 图形引用与“graphic.svg”文件位于同一目录中的文件“my.css”。 SVG 图形中的 ECMAscript 尝试通过以下方式访问 cssRules:document.styleSheets[0].cssRules 并获得 DOMException。似乎从同一来源加载所有内容:FILE://,那么为什么会出现错误?
  • 浏览器可以选择如何处理这种情况。 W3C CORS spec 的“起源”定义来自 RFC6454 “Web 起源概念”,says the origin of a file:// URI is implementation-dependent
  • 另见stackoverflow.com/questions/48313084/…
猜你喜欢
  • 1970-01-01
  • 2019-03-20
  • 1970-01-01
  • 1970-01-01
  • 2019-03-23
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode