Christian Kruse: iframe same-origin sandbox

Beitrag lesen

SELF-Forum

iframe same-origin sandbox

Christian Kruse Homepage des Autors
+1 Informationen zu den Bewertungsregeln

problematische Seite

Hallo Ingrid,

vielleicht wird es klarer, wenn man den Sinn erkennt. Das ist eine Mitigation-Strategie gegen XSS- und CSRF-Lücken. Wenn der Angreifer es schafft, die URL eines iframe zu verändern, dann schützt einen das sandbox-Attribut dagegen, dass ein ungewollter Request mit Benutzerrechten ausgeführt wird. allow-same-origin heisst also nicht „erlaube Same-Origin des Openers,“ sondern „erlaube Same-Origin-Requests.“

Freundliche Grüße,
Christian Kruse

--
https://wwwtech.de/about
Beitrag melden
+1
Informationen zu den Bewertungsregeln
0 15

iframe same-origin sandbox

Henry
  • html
  1. 2
    Christian Kruse
    • html
    • javascript
    1. 0
      Matthias Apsel
      1. 0
        Henry
      2. 4
        Christian Kruse
    2. 0
      Henry
      1. 3
        Christian Kruse
        1. 0
          Christian Kruse
          1. 0
            Rolf B
            1. 0
              Christian Kruse
              1. 1
                Christian Kruse
              2. 0
                Rolf B
                1. 1
                  Christian Kruse
                  1. 0
                    Der Martin
                  2. 0
                    Rolf B