Electron: iframeリクエストに対する許可リクエストハンドラーに誤ったオリジンが渡される

### 影響 iframeが`fullscreen`、`pointerLock`、`keyboardLock`、`openExternal`、または`media`の許可をリクエストする際、`session.setPermissionRequestHandler()`に渡されるオリジンが、リクエスト元のiframeのオリジンではなく、トップレベルページのオリジンになっていました。オリジンパラメーターまたは`webContents.getURL()`に基づいて許可を付与するアプリは、埋め込まれたサードパーティコンテンツに誤って許可を付与する可能性があります。 正しいリクエストURLは、`details.requestingUrl`から引き続き利用可能です。すでに`details.requestingUrl`を確認しているアプリは影響を受けません。 ### 回避策 `setPermissionRequestHandler`で、`fullscreen`、`pointerLock`、`keyboardLock`、`openExternal`、または`media`の許可を付与するかどうかを決定する際に、オリジンパラメーターまたは`webContents.getURL()`ではなく、`details.requestingUrl`を調べてください。 ### 修正バージョン * `41.0.0` * `40.8.1` * `39.8.1` * `38.8.6` ### 詳細情報 このアドバイザリについてご質問やご意見がございましたら、[security@electronjs.org](mailto:security@electronjs.org)までメールでお問い合わせください。