Comment Google+ +1 widgets briser l'iframe?
https://stackoverflow.com/questions/7313037
-
26-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
D'une certaine façon, planant au-dessus d'un widget Google+ plus-on peut introduire un accord de type infobulle qui est nettement plus grande que l'élément <iframe> dans lequel il est contenu. J'ai inspecté le DOM pour confirmer. *
-
Quoi? Comment!?
-
est-ce pas une occasion énorme pour clickjacking, si elle est utilisée malicieusement? (Imaginez quelqu'un qui fait un MITM pour ces widgets sociaux!)
* Mise à jour:. Ce que je vis était que le infobulle-y était dans un secondes, iframe créé dynamiquement
La solution
Le Google +1 widget est JavaScript qui fonctionne sur votre site qui est la construction un iframe. Ce widget est en cours d'exécution JavaScript dans le contexte de votre site et est donc pas contraint par le origine Règles d'héritage pour les iframes . Par conséquent, ce widget JavaScript peut définir ce que les événements DOM qu'il veut sur le site parent, même si elle semble être un simple iframe.
Une autre chose, pourquoi Google utilise un iframe? Pourquoi ne pas simplement générer un div sur la page? Eh bien parce que le lien provient de la iframe, un CSRF (contrefaçon de demande cross-site) jeton peuvent être intégrés dans la demande et le site parent ne peut pas lire ce jeton et d'établir la demande. Ainsi, le iframe est une mesure anti-CSRF qui repose sur les règles d'héritage Origin pour se protéger d'un parent malveillant.
Du point de vue de l'attaque ce qui est plus comme XSS (de cross-site scripting) que l'interface utilisateur-Redress. Vous donnez accès à Google à votre site Web et ils pourraient pirater votre cookie de ses utilisateurs ou effectuer XmlHttpRequests contre votre site s'ils le souhaitent (mais les gens les poursuivre en justice pour être malveillant et riche).
Dans ce cas, vous devez faire confiance Google, mais Google ne vous faites pas confiance.
Il existe des moyens d'atténuer l'impact de la vie privée de ces bugs web .
Autres conseils
Google utilise iFrames pour éviter "DIVs standards qui fuient." Leur boîte de dialogue de la bibliothèque de fermeture fait la même chose. Il est probablement juste pour que tout autre contenu ne peut pas saigner dans le bouton +1. http://closure-library.googlecode.com/svn /trunk/closure/goog/demos/dialog.html .
