อย่างใดการโฮเวอร์เหนือวิดเจ็ต Google+ บวกหนึ่งสามารถแนะนำข้อเสนอประเภทเครื่องมือที่มีขนาดใหญ่กว่า<iframe>องค์ประกอบที่มีอยู่อย่างชัดเจน ฉันตรวจสอบ DOM เพื่อยืนยันแล้ว *
ดังนั้น:
อะไร? วิธี !?
นี่ไม่ใช่โอกาสอันยิ่งใหญ่สำหรับ clickjacking หากใช้โดยประสงค์ร้าย (ลองนึกภาพคนที่ทำ MITM สำหรับวิดเจ็ตโซเชียลเหล่านี้!)
* ปรับปรุง: สิ่งที่ผมเห็นก็คือว่าข้อความคำแนะนำเครื่องมือ-Y ได้ในสองสร้างแบบไดนามิกiframe
คำตอบ:
ของ Google +1 เครื่องมือเป็นJavaScript ที่วิ่งบนเว็บไซต์ของคุณiframeที่เป็นอาคาร วิดเจ็ต JavaScript นี้ทำงานอยู่ในบริบทของเว็บไซต์ของคุณดังนั้นจึงไม่ได้ถูก จำกัด โดยกฎแหล่งกำเนิดดั้งเดิมสำหรับ iframes ดังนั้น JavaScript เครื่องมือนี้สามารถตั้งค่าสิ่งที่เหตุการณ์ DOM iframeมันต้องการบนไซต์แม่แม้ว่ามันจะดูเหมือนจะเป็นเพียงที่เรียบง่าย
อีกสิ่งหนึ่งที่ทำไม Google ใช้iframe? ทำไมไม่สร้างเพียงdivบนหน้า? ด้วยการเชื่อมโยงที่มาจากiframeโทเค็น CSRF (การร้องขอข้ามไซต์) สามารถฝังอยู่ในคำขอและไซต์แม่ไม่สามารถอ่านโทเค็นนี้และปลอมคำขอ ดังนั้นจึงiframeเป็นมาตรการต่อต้าน CSRF ที่อาศัยกฎแหล่งกำเนิดสินค้าเพื่อป้องกันตัวเองจากผู้ปกครองที่เป็นอันตราย
จากมุมมองของการโจมตีนี่เป็นเหมือน XSS (cross-site scripting) มากกว่า UI-Redress คุณให้สิทธิ์แก่ Google ในการเข้าถึงเว็บไซต์ของคุณและพวกเขาสามารถขโมยคุกกี้ของผู้ใช้หรือดำเนินการXmlHttpRequestsกับเว็บไซต์ของคุณหากพวกเขาเลือก (แต่คนจะฟ้องพวกเขาเพราะเป็นอันตรายและร่ำรวย)
ในสถานการณ์เช่นนี้คุณต้องไว้วางใจ Google แต่ Google จะไม่ไว้ใจคุณ
มีวิธีการในการบรรเทาผลกระทบต่อความเป็นส่วนตัวของเหล่านี้บนเว็บโรคจิต
Google ใช้ iFrames เพื่อป้องกัน "มาตรฐาน DIV ที่รั่ว" กล่องโต้ตอบปิดห้องสมุดของพวกเขาทำสิ่งเดียวกัน อาจเป็นเพียงเพื่อให้เนื้อหาอื่นไม่สามารถแทรกลงในปุ่ม +1 http://closure-library.googlecode.com/svn/trunk/closure/goog/demos/dialog.html
<iframe>ซึ่งคุณแนะนำอาจเป็นจริง (และอธิบายว่าเป็นไปได้อย่างไร) แต่ดูเหมือนจะไม่เป็นเช่นนั้นในกรณีนี้จากการตรวจสอบ DOM และมันจะเปิดเผยชื่อและที่อยู่ Gmail ของฉันกับพ่อแม่ที่เป็นอันตราย (ยกเว้นกรณีที่ห่อในครั้งที่สองiframe)!