Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [JavaScript]Bezpieczeństwo kodu w iframe
viking
post
Post #1





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Tak mnie jedna rzecz nurtuje, czy można wykorzystać w jakiś sposób fakt same origin policy wewnątrz iframe? Albo jakieś inne zagrożenie?

Strona dodaje dynamicznie iframe po wykonaniu akcji. W ramce znajduje się kod przetworzony przez parser JS (z textarea) w którym można wykonywać chociażby href=java script:. Oczywiście po wysłaniu formularza do serwera całość z pierwotnego textarea jest przetwarzana w PHP i wyświetlany w dalszym etapie na stronie jest już przeczyszczony kod.

Czyli, użytkownik wprowadza sobie do textarea kod, kod ten trafia do iframe i na tym etapie w iframe może wylądować niebezpieczny kod, dalej jest czyszczony i wyświetlany już bezpieczny.
Go to the top of the page
+Quote Post

Posty w temacie
- viking   [JavaScript]Bezpieczeństwo kodu w iframe   30.10.2015, 20:13:09
- - Comandeer   Jeśli to jest same origin, to de facto zarówno str...   30.10.2015, 20:21:44
- - viking   Ok, a co można by tym zaszkodzić przykładowo?   30.10.2015, 20:55:22
- - Comandeer   Jeśli zawartość ramki jest przepuszczona przez par...   31.10.2015, 13:06:54
- - viking   Nie, w drugą stronę. Zawartość textarea ląduje w r...   31.10.2015, 13:15:46

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.09.2025 - 20:24
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn