Как разрываются виджеты Google+ +1 из -за их iframe?
https://stackoverflow.com/questions/7313037
-
26-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Каким-то образом, падав над виджетом Google+ Plus-One может представить сделку типа подсказки, которая явно больше, чем <iframe> элемент, в котором он содержится. Я проверил DOM, чтобы подтвердить это.*
Так:
Какая? Как!?
Разве это не огромная возможность для клика, если используется злонамеренно? (Представьте себе, что кто -то делает MITM для этих социальных виджетов!)
*ОБНОВЛЕНИЕ: Я видел, что сообщение об отсчете было в второй, динамически создан iframe.
Решение
Виджет Google +1 JavaScript, который работает на вашем сайте это строит iframe. Анкет Этот виджет JavaScript работает в контексте вашего веб -сайта и, следовательно, не ограничивается Правила наследования происхождения для iframes. Анкет Поэтому этот виджет Javascript может установить любые события DOM, которые он хочет на родительском сайте, даже если он кажется просто простым iframe.
Другое дело, почему Google использует iframe? Почему бы просто не генерировать div на странице? Ну, потому что ссылка происходит из iframe, токен CSRF (подделка по перекрестным запросам) может быть встроен в запрос, и родительский сайт не может прочитать этот токен и поднять запрос. Итак iframe является мерой против CSRF, которая опирается на правила наследования происхождения, чтобы защитить себя от злонамеренного родителя.
С точки зрения атаки это больше похоже на XSS (сценарии поперечного сайта), чем на ui-redress. Вы предоставляете Google доступ к вашему веб -сайту, и они могут угнать cookie ваших пользователей или выполнять XmlHttpRequests Против вашего сайта, если они так выберут (но тогда люди будут предъявлять им иск за то, что они злонамерены и богаты).
В этой ситуации вы должны доверять Google, но Google вам не доверяет.
Есть способы смягчения воздействия конфиденциальности этих веб-бундов.
Другие советы
Google использует iframes, чтобы предотвратить «протекающие стандартные divs». Их диалог библиотеки закрытия делает то же самое. Вероятно, это просто так, что другой контент не может кровоточить в кнопке +1. http://cloge-library.googlecode.com/svn/trunk/cloust/goog/demos/dialog.html.
