Как заглушить javascript исключения в iframe?

Question

[romashka_sky]

Есть такой шаблон:

<iframe src="data:text/html;charset=utf-8,{{ item.description }}"></iframe>

вместо {{ item.description }} вставляется html-код, содержащий скрипты, которые могут содержать ошибки. Нужно чтобы эти ошибки не выходили за пределы iframe, То есть не влияли на основную страницу. Как лучше поступить в таком случае. Выполнение js в iframe не обязательно, то есть можно попросту вырезать скрипты, или каким-то образом отключить их.

Как вариант, можно просто пробежаться по коду и вырезать все скрипты, но это сложно

Comments

[Александр Хиренко]

Скрипты какие подгружаются, Ваши или с внешних ресурсов?

[romashka_sky]

с внешних ресурсов

Answer 1

[Евгений Петров]

Отлавливать ошибки в контексте выполнения скриптов iframe'а.

var iframe = document.createElement('iframe'),
	content = 'data:text/html;charset=utf-8,<!DOCTYPE html><html><head><meta charset="utf-8">' +
	'<script>document.writew("<h1>Hello!</h1>");<\/script>' +
	'</head><body><h2>World!</h2></body></html>';

	document.body.appendChild(iframe);
	iframe.contentWindow.addEventListener('error', function (e) {
		e.stopPropagation();
		e.preventDefault();
		console.log(e);
	}, false);
	iframe.src = content;

Comments

[romashka_sky]

Спасибо. Но в Chrome не работает? jsfiddle.net/NJK49/4

[Евгений Петров]

Хром меня не перестаёт удивлять, превращаясь в нечто странное и косячное.

В данном случае у него явные проблемы с определением контекста выполнения скрипта, записанного в строке. Возможно, мы столкнулись с особым, своим контекстом выполнения eval. То есть строка при превращении в исполняемый код бросает исключение вовсе не в contentWindow, а в свой контекст.

Вот, что пришлось сделать jsfiddle.net/petroveg/NJK49/5
Просто первой инструкцией навесили в том контексте обработчик ошибки.

[Евгений Петров]

Посмотрел повнимательней, ошибка в хроме возникает из-за несовпадения схемы в URI — hhtp: против data:. Так что да — только инкапсуляция первой инструкцией в первый же скрипт (если он есть) обработчика события error, как в предыдущем каменте.

[romashka_sky]

Спасибо. Буду просто html предварять скриптом с обработчиком "error". Или обязательно в первый скрипт? И термин "инкапсуляция" здесь неуместен, на мой взгляд.

[Евгений Петров]

Да, инкапсуляция тут не совсем по делу. Тут речь о политике безопасности и происхождении документов. Просто вставил умное словцо, уж не обессудьте)) Раз не было возможности обратиться из одного контекста в другой, я и написал сей термин, приравнивая его к сокрытию.

Регистрацию обработчика нужно ставить первым делом, так что да — предваряйте. В предложенном решении не предусмотрена обработка строки, содержащей скрипт со ссылкой на внешний источник. Делал как быстрей и проще.

В реальности нужно вставлять скрипт, как вы и хотите — я не стал этого делать по причине неясности целостности кода. Есть ли head? Не стал заморачиваться и сделал именно под ваш пример.

[romashka_sky]

Этот html может быть совершенно произвольным (описание товара продавцом)

[Евгений Петров]

Вот про это я и говорю — нужно понять, куда добавлять и нужно ли это вообще делать (по наличию head или скриптов в принципе). Но теперь у нас есть палка-ковырялка, и с её помощью можно сделать что-нибудь полезное))

[Евгений Петров]

Господи, вот я лошара — правильно было написать «инъекция». Или я опять пальцем в небо?)

[romashka_sky]

Да, или внедрение