Detlef G.: Cross Site Scripting, oder nicht?

Beitrag lesen

Hallo Afra

Eckdaten: Es gibt einen Webserver, der über einen iFrame eine entfernte Seite lädt.

Der Webserver lädt die Seite?
Oder fügt der Webserver nur die URL in einen iFrame ein?

Wenn dies serverseitig umgesetzt ist und Traffik keine zu große Rolle
spielt, dann könnte der Webserver wirklich diese Seite laden und selbst
ausliefern. Dann würde die Same Origin Policy keine Rolle mehr spielen,
weil aus Sicht des Browsers beide Seiten vom selben Server kommen.
Es wäre dann auch möglich, den Inhalt des Bodys der fremden Seite direkt
und ohne iFrame einzubinden.

Ich hasse diese Lösung mit dem iframe und mir wäre ein erlaubtes Scrollen viel lieber. Aber das "sieht ja nach nix aus" (<- nicht mein O-Ton)

Wenn die einbindende Seite so aufgebaut ist, dass der iFrame die gesamte
Seitenhöhe einnimmt, dann ist der Scrollbalken des iFrames nicht von dem
der gesamten Seite zu unterscheiden.

Auf Wiederlesen
Detlef

--
- Wissen ist gut
- Können ist besser
- aber das Beste und Interessanteste ist der Weg dahin!