Question

Если вы использовали Google Wave или iGoogle, вы, вероятно, видели, что вы можете вставлять виджеты, созданные третьими лицами без разрешения. Мой вопрос: как мешает виджету выполнять XSS или стейк-куки? Загружены ли виджеты в <iframe>? Если да, то что мешает им перенаправить вас на другую страницу?

Спасибо

Sripathi Krishnan · Answer 1 · 01 апреля 2010

Да, они используют iframes для размещения ненадежного контента. Они не могут украсть куки, потому что этот контент размещен в другом домене (gmodules.com), а браузер предотвращает междоменное взаимодействие.

Что касается перенаправления, модуль, размещенный в iframe, МОЖЕТ изменить window.location (но, что удивительно, не может его прочитать). Таким образом, злонамеренный код в загруженном пользователем модуле может привести вас на поддельную страницу входа в Google в попытке украсть ваш пароль.

luiscubal · Answer 2 · 01 апреля 2010

Полагаю, это потому, что эти виджеты были бы заблокированы, если бы они это сделали.

Группа HTML5 работает над реальным (техническим, а не юридическим) решением этой проблемы с использованием атрибута "песочница" вплавающие фреймы.

Fogh · Answer 3 · 01 апреля 2010

Насколько я знаю, они могут перенаправить вас на другую страницу.

Как Google Wave и iGoogle предотвращают XSS с помощью виджета?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как Google Wave и iGoogle предотвращают XSS с помощью виджета?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов