Google+ +1ウィジェットはIFRAMEからどのように脱出しますか?

StackOverflow https://stackoverflow.com/questions/7313037

質問

どういうわけか、Google+ Plus-Oneウィジェットを上回ると、明らかに大きいツールチップタイプの取引が導入される可能性があります。 <iframe> 含まれている要素が含まれています。これを確認するためにDOMを検査しました。*

iframe boundaries

そう:

  1. 何?どのように!?

  2. 悪意を持って使用した場合、これはクリックジャックの大きな機会ではありませんか? (これらのソーシャルウィジェットのためにMITMをしている人を想像してください!)

*更新:私が見たのは、Tooltip-Yメッセージが 2番目、 動的に作成されました iframe.

役に立ちましたか?

解決

Google +1ウィジェットはです あなたのウェブサイトで実行されるJavaScript それは構築されています iframe. 。このJavaScriptウィジェットはあなたのウェブサイトのコンテキスト内で実行されているため、 IFRAMEの原点継承ルール. 。したがって、このJavaScriptウィジェットは、単純であるように見えても、親サイトで必要なDOMイベントを設定できます iframe.

別のことは、なぜGoogleを使用しているのか iframe?なぜ生成してみませんか div ページに?リンクはから発生するためです iframe, 、CSRF(クロスサイトリクエスト偽造)トークンをリクエストに埋め込むことができ、親サイトはこのトークンを読み取ってリクエストを偽造できません。だから iframe は、悪意のある親から自分自身を保護するために、起源相続ルールに依存する抗CSRF尺度です。

攻撃の観点からは、これはui-redressよりもXSS(クロスサイトスクリプト)に似ています。あなたはあなたのウェブサイトにGoogleにアクセスできるようにしています、そして彼らはあなたのユーザーのクッキーをハイジャックしたり、パフォーマンスしたりすることができます XmlHttpRequests 彼らがそうするならあなたのウェブサイトに対して(しかし、人々は悪意があり裕福であると彼らを訴えるでしょう)。

この状況では、Googleを信頼しなければなりませんが、Googleはあなたを信頼していません。

これらのウェブバグのプライバシーへの影響を緩和する方法があります.

他のヒント

GoogleはIFRAMEを使用して、「漏れやすい標準DIV」を防止します。彼らの閉鎖ライブラリダイアログは同じことをします。おそらく、他のコンテンツが+1ボタンに出血できないようにすることです。 http://closue-library.googlecode.com/svn/trunk/closure/goog/demos/dialog.html.

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top