Accesso ai cookie di un altro dominio utilizzando Iframes e Javascript

Question

Accesso ai cookie di un altro dominio utilizzando Iframes e Javascript

#1 da (3 voti)

1

Usando Iframe possiamo incorporare pagine web di un altro dominio a condizione che X-Frame-Options non sia impostato su SAMEORIGIN . Questo carica anche il cookie all'interno dell'iframe.
Ora, puoi accedere a questo cookie se si trova nella casella iframe utilizzando document.cookie . Volevo chiedere se è possibile inviare questo cookie inviando questo a se stesso (scrivendo uno script all'interno del tag iframe).

Le mie opinioni:
Questo è possibile se possiamo scrivere il tag script all'interno del tag iframe nella pagina web. Ma non sembra funzionare nel mio caso.

Possiamo anche inserire uno script in modo dinamico all'interno della iframe . Volevo sapere se è possibile o no.

Penso che potrebbe non funzionare poiché l'iframe caricato potrebbe sovrascrivere tutto il contenuto del tag iframe e il tag dello script potrebbe non funzionare.
Se questo è il caso, allora perché c'è un tag di chiusura iframe . Non può essere solo: iframe src="https://abc.def.com" tag per definire iframe?

javascript cookies crossdomain

posta aka_007 09.02.2016 - 09:13

fonte

1 risposta

Leggi altre domande sui tag javascript cookies crossdomain

Rilevazione di frodi per evitare utenti falsi Rischio di sicurezza di un servizio che consente a un utente di verificare la connettività da un server a una stampante

score 3 · Accepted Answer

La stessa politica di origine garantisce che non è possibile leggere o modificare il contenuto di una pagina con origini diverse. Nel caso dell'iframe questo significa che il frame genitore può sostituire completamente l'iframe (e quindi cambiare l'origine) ma non può leggere o modificare il contenuto dell'iframe ha un'origine diversa.

Pertanto la lettura di un cross-cookie da un iframe funzionerà solo se il contenuto dell'iframe comunica esplicitamente con il frame principale (come con postMessage) per condividere il valore del cookie. Solitamente questo non è il caso con origini non correlate, ma se trovi un attacco XSS sull'origine degli iframe, potresti essere in grado di ingannare l'iframe per inviare questo cookie al frame principale.

Si noti che X-Frame-Options non è correlato allo stesso criterio di origine. Viene usato solo per definire se un sito può essere inserito in un iframe o meno. Questo è importante per difendersi contro Clickjacking o altri attacchi UI-Redressing.