Я пытаюсь выполнить XSS внутри <iframe>, который я вызываю на своем веб-сайте / в браузере для другого законного веб-сайта.
Вот то, над чем я работал, , который не работает.
<iframe src="legitwebsite.com" id="targetFrame" onmouseover="document.getElementById('targetFrame').contentWindow.alert(document.location.href);">
Я не знаю, работоспособно это или нет, но яПолагайте, что если у веб-сайта есть уязвимость, связанная с кликджекингом, то, вероятно, его можно перевести в XSS даже на нечувствительных страницах, используя это.
Есть мысли?