On Tue, Feb 2, 2010 at 5:00 AM, Simon Fraser <span dir="ltr"><<a href="mailto:smfr@me.com">smfr@me.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On Feb 1, 2010, at 1:14 AM, Henri Sivonen wrote:<br>
<br>
> On Jan 31, 2010, at 05:08, Simon Fraser wrote:<br>
><br>
>> * disallow enterFullscreen() from a frame or iframe<br>
><br>
> This might be a problem if video sites transition their embedding boilerplate to an iframe in order to be able to be able to serve HTML5, Flash, ActiveX, etc. depending on UA without requiring the embedders to copy and paste anything fancy.<br>

<br>
</div>Perhaps we'd enforce a same-origin rule where the iframe contents have to be from the same domain as the main page, then?<br></blockquote><div><br>I think that wouldn't work because people will want to serve the IFRAME document from the video site.<br>
<br>However, I'd very very reluctant to allow subframes to go fullscreen by default. I haven't got any specific attack scenarios in mind, but it seems to add to the power of clickjacking, which is the last thing we need.<br>
<br>How about denying fullscreen from subdocuments by default, and allow opt-in with an attribute on <iframe>, say "allowfullscreen"?<br><br>Note that same-origin IFRAMEs can reach into their parent document and make it fullscreen, and make the IFRAME position:fixed etc, to effectively make themselves fullscreen (albeit not very conveniently).<br>
<br></div></div>Rob<br>-- <br>"He was pierced for our transgressions, he was crushed for our iniquities; the punishment that brought us peace was upon him, and by his wounds we are healed. We all, like sheep, have gone astray, each of us has turned to his own way; and the LORD has laid on him the iniquity of us all." [Isaiah 53:5-6]<br>