2012年11月6日 星期二

[分享] Error Handling 跨網域問題 (CORS)

Error Handling 跨網域問題

今天突然看到阿嗚丟出一個問題,
    最近想要用 window.onerror 將部分環境的 JavaScript Error 回報給 Server,但 Static 與 Front-end 的網域不同,在 IE 以外的瀏覽器都因 Same Origin Policy 只能抓到語焉不詳的 "Script Error"... 有設定 CORS 的 Header 但也都無效,據說是瀏覽器都沒實作。有人有成功案例嗎?
測試連結
http://josephj.com/lab/2012/window-onerror/demo2.html
剛開始我的問題是,看不懂希望的結果是什麼。
簡單來說,因為 static 檔案跟 dynamic page 是分別放至於不同 server. 如果需要擷取 JavaScript Error code line 的時候,會發生異常訊息,
Script error. 
可是實際上,我們希望出的是錯誤 code 行數與資訊,類似資訊如下
Uncaught ReferenceError: abc is not defined 

測試方向

  • document.write 用抓取的(cross domain 失敗)
  • iframe (cross domain 失敗)
  • onerror 不管加入在 src file, 或者 inline script 都吐出一樣訊息 (失敗)
  • 交換測試 CORS 設定(一樣無法顯示正常結果,失敗)

搜尋文獻

之後找了相關的文件,

Better error handling with window.onerror

其中裡面值得參考的資訊,
Security

To prevent information leaking from one server to the other, it is important to be careful with scripts that have two different origins. If the script URL is has a different origin to the document then the three arguments returned by window.onerror are always ‘Script error.’, ‘’, 0. Read X-Script-Origin, we hardly knew ye for more details.

裡面提到,如果跨網域的時候 window.onerror 都會顯示 ‘Script error.’, ‘’, 0. 資訊。

接著有提到另外一篇文章,進去裡面看看

X-Script-Origin, we hardly knew ye

文章通常重點都在最後,直接看最後幾句,
Once the embedding origin is authorized to read the contents of the script, there's no longer any need to redact the exceptions delivered to window.onerror.

當 script 讀取之後,錯誤將不再具有任何反應,真是完全遺憾。

結論

得到的實驗和證明結果就是,
window.onerror
當在跨網域狀況下,無法完整擷取 JavaScript 錯誤資訊。
也許大家有不錯的方法可以擷取到正確資訊,歡迎討論。

參考資料

沒有留言:

張貼留言

Facebook