Steal postmessage modifying iframe location
Ändern der Position von Iframes
Laut diesem Bericht können Sie, wenn Sie eine Webseite ohne X-Frame-Header in ein Iframe einbinden, das ein weiteres Iframe enthält, die Position dieses untergeordneten Iframes ändern.
Zum Beispiel, wenn abc.com efg.com als Iframe enthält und abc.com keinen X-Frame-Header hat, könnte ich mit frames.location
efg.com zu evil.com im Cross-Origin-Modus ändern.
Dies ist besonders nützlich bei postMessages, da es möglich ist, wenn eine Seite sensible Daten mit einem Platzhalter wie windowRef.postmessage("","*")
sendet, die Position des zugehörigen Iframes (untergeordnet oder übergeordnet) zu einer von Angreifern kontrollierten Position zu ändern und diese Daten zu stehlen.
Last updated