1. ホーム
  2. html

[解決済み] Google +1ウィジェットがiframeから抜け出すには?

2022-05-12 03:49:49

質問

Google+ plus-one ウィジェットにカーソルを合わせると、なぜかツールチップタイプの案件が表示されます。 <iframe> 要素よりも明らかに大きいツールチップタイプの取引が発生します。私はこれを確認するために DOM を検査しました*。

だから

  1. えっ、どうして!?

  2. これは、悪意を持って使用された場合、クリックジャックのための大きなチャンスではないでしょうか? (誰かがこれらのソーシャル ウィジェットのために MITM を行うことを想像してみてください!)

*更新: 私が見たのは、ツールチップのようなメッセージは 秒間です。 を動的に作成する iframe .

どのように解決するのですか?

Google +1 ウィジェットは ウェブサイト上で実行されるJavaScript を構築しているものです。 iframe . この JavaScript ウィジェットは、あなたの Web サイトのコンテキスト内で動作しているので iframeのOrigin継承ルール . そのため、この JavaScript ウィジェットは親サイト上で好きな DOM イベントを設定することができ、たとえそれが単なる iframe .

もうひとつ、なぜ Google は iframe ? を生成しないのでしょうか? div を生成しないのでしょうか? なぜなら、リンクの発信元は iframe から発信されているため、CSRF (cross-site request forgery) トークンをリクエストに埋め込むことができ、親サイトはこのトークンを読み込んでリクエストを偽造することができません。そのため iframe はOrigin Inheritanceのルールに依存したCSRF対策であり、悪意のある親サイトからの保護になります。

攻撃の観点からは、これはUI-RedressというよりもXSS(クロスサイトスクリプティング)に近いです。 Google に Web サイトへのアクセスを許可しているため、Google はユーザーの Cookie を乗っ取ったり、Web サイトで XmlHttpRequests を実行することも可能です(ただし、その場合、人々は悪意があり裕福であるとしてGoogleを訴えます)。

この状況では、あなたはGoogleを信頼しなければなりませんが、Googleはあなたを信頼していません。

このようなウェブバグのプライバシーへの影響を緩和する方法があります。 .