Google +1 widget iframe
inşa ediyor JavaScript that runs on your website olduğunu. Bu JavaScript gereci, web sitenizin içeriğinde çalışıyor ve bu nedenle Origin Inheritance Rules for iframes tarafından kısıtlanmamıştır. Bu nedenle, bu JavaScript gereci, basit bir iframe
gibi görünmesine rağmen, ana sitede istediği DOM olaylarını ayarlayabilir.
Başka bir şey, neden Google bir iframe
kullanıyor? Neden sadece sayfada div
oluşturmuyorsunuz? Bağlantı iframe
'dan kaynaklandığı için, bir CSRF (siteler arası talep sahteciliği) jetonu istek üzerine gömülebilir ve üst site bu belirteci okuyamaz ve isteği biçimlendiremez. Dolayısıyla, iframe
, kendisini kötü niyetli bir ebeveynden korumak için Kökeni Devralma kurallarına dayanan bir anti-CSRF ölçüsüdür.
Saldırı perspektifinden bu, UI-Redress'den daha çok XSS (siteler arası komut dosyası oluşturma) gibidir. Web sitenize Google erişim hakkı veriyorsunuz ve kullanıcılarınızın çerezlerini ele geçirebiliyor ya da web sitenize karşı XmlHttpRequests
gerçekleştiriyorlarsa (ancak insanlar kötü niyetli ve varlıklı olduklarını iddia ediyorlardı).
Bu durumda Google'a güvenmek zorundasınız, ancak Google size güvenmiyor.
There are ways of mitigating the privacy impact of these web-bugs.
Harika bir şey - Yorumunuzu yeniden değerlendirmenizi rica ediyorum: XSS, bu da pek bir anlam ifade ediyor. Yine de hala bir şey hakkında emin değilim. Söz konusu içerik, "
@Alan H. Evet, dinamik iframe'lerle bazı garip şeyler yapıyorlar. + 1'i tıklarsanız, yorum eklediğiniz pencereyi alırsınız. Firebug'ı yüklerseniz ve bu elemanı incelerseniz, o zaman plusone.google.com/u/0/_/+/fastbutton? Url = ... için iframe src elde edersiniz. Bu iframe google + 'ya gönderim için CSRF belirtecini içerir. – rook
Bazı durumlarda, Cookie'nin httponly ile ayarlayarak ele geçirilmesini önleyebilirsiniz. – seppo0010