plartem: у iframe, если он загружен - есть document.
Т. е. по хорошему в внедряемом скрипте вам нужно дождаться загрузку фреймов.
Думаю, что можно достучаться. Даже не смотря на разницу в протоколах и вы об этом знаете судя по ответу.
plartem: нет, а вас?) Безопасность она одна на всех. Сделать что-то внутри iframe можно только если он находится на вашем(том же куда он встроен) домене.
Во всех остальных случаях политика безопасности не пропустит вас внутрь вообще.
А сделать клик как мышкой через Chrome Extension - это не эмулятор браузера, а userscript который работает на обычном JS. И он не умеет такое.
Александр Аксентьев: у chrome extensions усть свои права, как доступ к любым данным на любом сайте, к любой вкладке, к любому запросу, сделать любой запрос не беспокоясь о Cross-Orign и т. д. и т. п.
ProjectSoft: доступ к любым/всем сайтам это понятно, но только если этот сайт открыт во вкладке сейчас. Но на счет доступ к ифрейму с отличным origin от текущего открытого сайта сомневаюсь. Иначе открывается целая пачка интересных вещей.
Встроить рекламу на страницу и самому же на неё кликать из своего же расширения. Ну и всякие такие приколы.
Александр Аксентьев: почему бы и нет. Вы просто не представляете, что можно навертеть в расширении. Нужно только пробовать.
Если у расширения есть permissions "*://*/*" да поиграться с Content Security Policy можно такого навертеть....
Александр Аксентьев: Это не дыры. Поэтому можно пожаловаться на расширение, если вы заметили, что оно что-то делает "отвратительное"
В Opera аддонах и аддонах Mozilla расширения проверяются модераторами ручками и там такого не может быть в принципе.
ProjectSoft: плохие расширения если уж на то пошло зачастую ставятся не из маркета, а "напрямую" при установке какого-нибудь говна на ПК. Привет mail.ru и другим аналогичным яндекс-барам. Поэтому жаловаться-то некуда будет))
Александр Аксентьев: я же не просто так к ссылке прикрепил ид :D
Controls whether the content script runs in all frames of the matching page.
Расширение прикрепляет к каждому фрейму копию скрипта. И при желании можно настроить общение между скриптом, который прикреплен к главной странице и скриптами, которые прикреплены к фреймам.
Александр Аксентьев: О, да!!! Ни дай бог, какой-нибудь Amigo залетел к горю-юзвéрю)))) Ибо чистить систему это полный ад!!!
Хотя лишний 1к карман не трут))
plartem: Александр Аксентьев:
Для примера
SaveFrom.net помощник Встраивает ссылки на скачивание видео в любой фрейм независимо от разницы протоколов сайта и iframe.
ProjectSoft: вот про это и спрашивал, теперь вижу :)
Ну это жестко что сказать. Игнорить свои же правила безопасности в разных ситуациях странно.
У меня вот рядом сидит полный юзверь, и иногда хватает этого добра при установке.
Мало того что оно гадит везде.
Так еще и в профиль хрома(мой в качество второго авторизован там) ставит эти закладки и расширения.
А хром их естественно синхронизирует. В итоге до моего ноута это тоже долетает в виде настроек/расширений/закладок в хроме.
В общем после очередного раза удалил свой профиль оттуда нафиг xD
Похоже надо в хакиры идти, столько возможностей сломать всё. Да и на гитхабе исходники для создания ботнетов лежат. :D
