 [JavaScript]Bezpieczeństwo kodu w iframe |
| [JavaScript]Bezpieczeństwo kodu w iframe |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 6 381 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%) 
 |
Tak mnie jedna rzecz nurtuje, czy można wykorzystać w jakiś sposób fakt same origin policy wewnątrz iframe? Albo jakieś inne zagrożenie?
Strona dodaje dynamicznie iframe po wykonaniu akcji. W ramce znajduje się kod przetworzony przez parser JS (z textarea) w którym można wykonywać chociażby href=java script:. Oczywiście po wysłaniu formularza do serwera całość z pierwotnego textarea jest przetwarzana w PHP i wyświetlany w dalszym etapie na stronie jest już przeczyszczony kod. Czyli, użytkownik wprowadza sobie do textarea kod, kod ten trafia do iframe i na tym etapie w iframe może wylądować niebezpieczny kod, dalej jest czyszczony i wyświetlany już bezpieczny. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 268 Pomógł: 254 Dołączył: 11.06.2009 Skąd: Świętochłowice Ostrzeżenie: (0%)
|
Jeśli zawartość ramki jest przepuszczona przez parser JS i wyświetlona, to jak dla mnie możliwości jest tyle, ile dałoby bezpośrednie przepuszczenie kodu przez parser (IMG:style_emoticons/default/wink.gif) Jeśli da się wstawiać HTML i tag script, to mamy możliwości do wyboru do koloru.
|
|
|
|
viking [JavaScript]Bezpieczeństwo kodu w iframe 30.10.2015, 20:13:09 
Comandeer Jeśli to jest same origin, to de facto zarówno str... 30.10.2015, 20:21:44 viking Ok, a co można by tym zaszkodzić przykładowo? 30.10.2015, 20:55:22 
viking Nie, w drugą stronę. Zawartość textarea ląduje w r... 31.10.2015, 13:15:46  |
|
Aktualny czas: 5.10.2025 - 02:38 |
