Tracciamento delle autorizzazioni della politica di sicurezza in JavaScript

Question

Tracciamento delle autorizzazioni della politica di sicurezza in JavaScript

#1 da (3 voti)

1

Sto lavorando su clic-jacker glorificato che utilizza CNAMES per la navigazione (ad esempio .bit - > example.speech.is) e voglio consentire l'accesso tra domini ai contenuti di un iFrame. L'iframe secondario ha intestazioni impostate su:

Access-Control-Allow-Origin: *
Content-Security-Policy: default-src 'self' 'unsafe-inline' *.speech.is http://bits.speech.is https://bits.speech.is http://speech.is

Ma non riesco ancora ad accedere all'iframe usando iframe.windowContent.document (in realtà è speech.windowContent.document ). Firefox mi dà:

Error: Permission denied to access property 'document'

Mentre Chrome segnala:

SecurityError: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.
code: 18
message: "Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match."
name: "SecurityError"
stack: "Error: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.↵    at <anonymous>:2:21↵    at Object.InjectedScript._evaluateOn (<anonymous>:580:39)↵    at Object.InjectedScript._evaluateAndWrap (<anonymous>:539:52)↵    at Object.InjectedScript.evaluate (<anonymous>:458:21)"

Esiste comunque la possibilità di rintracciare dove viene impostata questa politica di sicurezza?

xss

posta Indolering 05.11.2013 - 00:01

fonte

1 risposta

Leggi altre domande sui tag xss

La necessità di creare timestamp in token Rendi pubblica la gestione dei firewall?

score 3 · Accepted Answer

Access-Control-Allow-Origin: * consente alcune richieste CORS da XHR, ma non consente l'accesso diretto al JS attraverso l'iframe. Se si desidera utilizzare comunicare con l'iframe, è possibile utilizzare invece PostMessage e implementare gli ascoltatori sia nell'iframe che nel genitore. Ovviamente è quindi necessario controllare la pagina mostrata nell'iframe.