Buenas,
Hay alguna forma de evitar que el JS que hay en un iframe acceda al codigo js/html padre o cockies/sesiones y demas. Es decir, evitar ataques en mi foro si permito la inserccion de frames en los posts.
Un saludo!
14/12/2010, 23:02
| |||
| |||
| ¿Como evitar ataques por iframes? Buenas, Hay alguna forma de evitar que el JS que hay en un iframe acceda al codigo js/html padre o cockies/sesiones y demas. Es decir, evitar ataques en mi foro si permito la inserccion de frames en los posts. Un saludo! |
|
14/12/2010, 23:23
| ||||
| ||||
| Respuesta: ¿Como evitar ataques por iframes? no te tienes que preocupar de ese detalle porque los script estan controlados por la politica de origen. es decir, los script no pueden interactuar entre si cuando son de distintos dominios.
__________________ la maldad es una virtud humana, y la espiritualidad es la lucha del hombre contra su maldad. |
|
15/12/2010, 22:27
| |||
| |||
| Respuesta: ¿Como evitar ataques por iframes? Valla no sabia esto!! :O distintos dominos, o distintas IPs? Es decir si tengo en otro dominio d mi mismo server un sistema donde dejo crear htmls y luego llamarlos desde el otro dominio y insrtarlo a modo de frames, pese a estar en el mismo server no deberia haber problema no? Un saludo! |
|
15/12/2010, 23:31
| ||||
| ||||
| Respuesta: ¿Como evitar ataques por iframes? buenas... la politica de origen se basa en dominios, no hace distincion de IPs. puedes leer mas acerca de ello en wikipedia politica del mismo origen o incluso los cientos de articulos en la web politica origen javascript. en resumen, www.primerdominio.com no puede interactuar con www.segundodominio.com. sin embargo, en caso de que tuvieras una red mas amplia con distintos subdominios y necesitaras interacutar entre ellos, puedes proveer privilegios indicandole a javascript el dominio. por ejemplo, dos dominios: primer.dominio.com y segundo.dominio.com, en ambos sitios indicas el dominio en la propiedad document.domain con el valor "dominio.com". fijate que carece del subdominio. por otro lado, hay que hacer una distincion muy importante. una cosa es cargar un script de otro dominio ajeno y otra es que cada dominio interactuen entre si. es decir, si en tu sitio cargas un script del dominio de facebook, google, o el sitio que quieras, dicho script cargado en tu sitio no posee ninguna restrinccion, pero eso no significa que el dominio ajeno tenga la habilidad de interactuar con tu sitio. por ejemplo, yo puedo cargar a mi sitio la libreria jquery que esta hospedada en el google pero no puedo interactuar con el contenido de google porque ambos dominios son distintos. 
__________________ la maldad es una virtud humana, y la espiritualidad es la lucha del hombre contra su maldad. |
| Etiquetas: |
Este tema le ha gustado a 1 personas 
