Задать вопрос
woonem
@woonem

Можно ли загрузить в iframe страницу и прочитать её JS'ом, чтобы получить секретные данные, доступные только пользователю?

Есть идея:
Пользователь открывает страницу X;
На странице X скрытый фрейм загружает страницу Y от имени пользователя (то есть куки отправляются пользовательские);
Скрипт на странице X читает содержимое фрейма (страницу Y), парсит его, выделяет нужную информацию;
Дальнейшие действия с информацией производятся на усмотрение создателя страницы X.

Так вопрос - можно ли сделать такую страницу X, и если да, то почему создатели браузеров не предусмотрели это в политике безопасности?
И на размышление - подумайте, для чего это может пригодиться :)
  • Вопрос задан
  • 295 просмотров
Подписаться 1 Оценить 3 комментария
Решения вопроса 1
e-vyushin
@e-vyushin
Frontend engineer
То о чём вы пишете мир уже прошёл.. Следующим этапом был clickjacking. Этот вид атаки позволяЛ выполнять различные действия от имени пользователя.

Например, известны случаи, когда прозрачный iframe накладывался поверх какой-нибудь кнопки на сайте при нажатии на которую пользователь в действительности кликал не на неё, а на контент во фрейме, за счёт чего выполнялись непреднамеренные действия от имени пользователя.

В настоящий момент данный вид атаки считается устаревшим.
На всех популярных сайтах, включая VK, Facebook и т. д., вы можете встретить HTTP заголовок X-Frame-Options со значениями DENY (запрещает открытие во фрейме) или SAMEORIGIN (разрешает открытие во фрейме только в своём домене).
Собственно, на этом вся история и заканчивается, а идеи хакеров по поводу clickjacking уже не актульны.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
ruFelix
@ruFelix
Предсказание будущего по руке, таро, кофе.
Так вопрос - можно ли сделать такую страницу X, и если да, то почему создатели браузеров не предусмотрели это в политике безопасности?


Да, но тут дело в том, что они это предусмотрели.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Если скрипт с того же домена, то прочитать получится. Иначе - нет.
И на размышление - подумайте, для чего это может пригодиться :)
Попасть под фильтр подозрительных сайтов?
Ответ написан
Комментировать
sim3x
@sim3x
Нет
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы