nicht angemeldet
cross-site / cross-frame scripting erlauben.. aber wie
0 0 0
cross-site / cross-frame scripting erlauben.. aber wie
Der Martinhi,
ich möchte einer bestimmten Seite (kann auch eine lokale
Seite von der HDD oder aus dem Intranet sein) erlauben,
per cross-frame Formulare in einer HTML-Seite auszufüllen,
die aus dem Internet kommt.
Egal was ich mache (es muß im IE laufen) und egal wie weich
ich die Sicherheitseinstellungen mache... ich bekomme immer
ein Zugriff verweigert...
Was muß ich machen, damit ich das für "meine" Seite erlauben
kann???
Ich habe also ein Framedokument, welches lokal oder im Intranet
liegt und der Inhalt des anderen Frames ist eine Seite aus dem
Internet. Meine Seite soll nun den Frame der anderen Seite "bearbeiten"
können. Mir ist bekannt, daß das eine security-related feature ist...
aber da ich das ja nur für meine lokale Seite will, muß das doch
irgendwie einzustellen sein???
Danke für Eure Hilfe,
yves
-
Hallo yves!
Was muß ich machen, damit ich das für "meine" Seite erlauben
kann???Dem Herr sei dank, dass man dies NICHT umgehen kann.
Stichwort Cross Site Scripting hast Du schon selbst angebracht. Aber dies hilft Dir sicherlich auch weiter, bei Deinem Weg der Erkenntnis: The Same Origin Policy
Schönen Gruß
Afra
-
Hi,
die S_O_P ist mir wohl bekannt... ich hatte halt nur gehofft, daß
daß für lokal aufgerufenen Seiten diese Beschränkung nicht gilt, bzw.
konfigurierbar ist. Evtl. habe ich mich ja nicht klar genug ausgedrückt... es soll ja keine Anleitung für ein XSS geben, was immer und überall funzt, sondern meine _lokal_ aufgerufe Seite soll in der Lage sein, eine andere fernzusteuern... und das finde ich durchaus legitim...
Ich habe mir auch schon mal eine HTA geschrieben, mit der ich in anderen Anwendungen Eingabefelder fernsteuern kann und das funktioniert prima, aber auch nur, weil sie _lokal_ gestartet wurde.Aber wir sind ja erst ein paar Minuten jung... vielleicht weiß ja doch noch jemand einen Trick.
Und by the way... wenn das partout nicht möglich ist, wozu zum Henker ist dann diese Option in den Sicherheitseinstellungen des IE "Auf Datenquellen über Domänengrenzen hnweg zugreifen" ???
merci
Hallo yves!
Was muß ich machen, damit ich das für "meine" Seite erlauben
kann???Dem Herr sei dank, dass man dies NICHT umgehen kann.
Stichwort Cross Site Scripting hast Du schon selbst angebracht. Aber dies hilft Dir sicherlich auch weiter, bei Deinem Weg der Erkenntnis: The Same Origin Policy
Schönen Gruß
Afra
-
-
Hallo,
Mit Firefox könntest du entweder:
- greasemonkey benutzen oder
- dir eine kleine Extension schreiben
Bookmarklets sollten auch im IE funktionieren:
http://www.stichpunkt.de/bookmarklets/
Sobald das Javascript im Browser-Kontext statt im Webseiten-Kontext abläuft,
interessiert auch die S.O.P. nicht mehr.Von einer Seite, die auf deinem Rechner (oder sonstwo) gespeichert ist, gibt
es m.W. keine Möglichkeit die S.O.P. zu umgeghen.Gruß, Jan
-
Hallo Jan,
Sobald das Javascript im Browser-Kontext statt im Webseiten-Kontext abläuft, interessiert auch die S.O.P. nicht mehr.
aber das tun die Bookmarklets ja gerade *nicht*. Die laufen im IE immer im Kontext der momentan geladenen Seite. Wenn ich eine Webseite aus den Weiten des Internets im Browser geladen habe, ist es ja z.B. auch nicht möglich, ein Bookmarklet auszuführen, wenn Javascript für lokale Seiten erlaubt, für Internet-Seiten dagegen gesperrt ist.
Von einer Seite, die auf deinem Rechner (oder sonstwo) gespeichert ist, gibt es m.W. keine Möglichkeit die S.O.P. zu umgeghen.
Beim IE würde ich davon ausgehen, dass man sie sehr wohl umgehen kann. Ich würde mal Internet Options/Security/Custom/Miscellaneous/Access data sources across domains und .../Navigate subframes across different domains ausprobieren.
Schönen Abend noch,
Martin--
You say, it cannot be love if it isn't for ever.
But let me tell you: Sometimes, a single scene can be more to remember than the whole play.-
Hallo,
aber das tun die Bookmarklets ja gerade *nicht*. Die laufen im IE immer im Kontext der momentan geladenen Seite. Wenn ich eine Webseite aus den Weiten des Internets im Browser geladen habe, ist es ja z.B. auch nicht möglich, ein Bookmarklet auszuführen, wenn Javascript für lokale Seiten erlaubt, für Internet-Seiten dagegen gesperrt ist.
Danke. Ich kenne mich mit dem IE und dessen Zonenemodel bzgl. Boookmarklets
nicht gut aus und habe bisher nur mit Greasemonkey und eigenen
FF-Extensionions herumgespielt.Für das geschilderte Problem, sollten Bookmarklets ja aber eine Lösung sein,
oder?Beim IE würde ich davon ausgehen, dass man sie sehr wohl umgehen kann. Ich würde mal Internet Options/Security/Custom/Miscellaneous/Access data sources across domains und .../Navigate subframes across different domains ausprobieren.
Möglich. Aber eine "Lösung", die auf einem Sicherheitsloch aufbaut, kann ja
wohl kaum gewünscht sein.Gruß, Jan
-
-
und es geht DOCH!!!!
Ich Dödel hatte ja sogar selbst den Hinweis gegeben mit meiner HTA.... schwupps ´ne HTA geschrieben und schon klappt es!
Manchmal muß man eben nur laut denken...Grüße...
hi,
ich möchte einer bestimmten Seite (kann auch eine lokale
Seite von der HDD oder aus dem Intranet sein) erlauben,
per cross-frame Formulare in einer HTML-Seite auszufüllen,
die aus dem Internet kommt.
Egal was ich mache (es muß im IE laufen) und egal wie weich
ich die Sicherheitseinstellungen mache... ich bekomme immer
ein Zugriff verweigert...
Was muß ich machen, damit ich das für "meine" Seite erlauben
kann???
Ich habe also ein Framedokument, welches lokal oder im Intranet
liegt und der Inhalt des anderen Frames ist eine Seite aus dem
Internet. Meine Seite soll nun den Frame der anderen Seite "bearbeiten"
können. Mir ist bekannt, daß das eine security-related feature ist...
aber da ich das ja nur für meine lokale Seite will, muß das doch
irgendwie einzustellen sein???Danke für Eure Hilfe,
yves