Antwort an „Rolf B“ verfassen

SELF-Forum

Noch keine Lösung: message von iframe wird nicht von parent empfangen

Rolf B

problematische Seite

Hallo Michael,

du betreibst Prinzipienreiterei. Stumpf die Kommunikation zwischen zwei Systemen zu verbieten, ohne die zu lösende Aufgabe zu betrachten, ist nicht der richtige Weg. Man muss

  • sich die Aufgabe anschauen
  • ggf. Alternativen überlegen
  • das Risiko bewerten

Linuchs hat die Aufgabe, zwei Systeme zu integrieren. Dafür muss zwischen den Systemen kommuniziert werden. Und das ist nicht böse. Das ist Systemintegration. Genau dafür ist der targetOrigin-Parameter von postMessage da. Genau dafür kann man im Content-Security-Policy Header frame-src und frame-ancestors setzen, wenn man möchte. Dafür ist die Abfrage auf die Herkunft-Origin da, sofern es denn möglich wäre, die iframe-Quelle zu manipulieren.

Man könnte auf dem shanty-sfd.de Server Server einen Proxy bereitstellen, der serverseitig die Inhalte von shantyfreun.de holt und sie damit unter scheinbar gleichem Origin bereitstellt.

Man könnte den Teil von shantyfreun.de, der für shanty-sfd.de gebraucht wird, auf den Strato-Server kopieren und die Kopie nutzen.

Das ist aufwändig und kostet Ressourcen. Wofür? Um ein Prinzip zu wahren? Wie schon gesagt: die beteiligten Systeme sind nicht beliebig. Sie sind bekannt, sie sollen kooperieren.

Machen wir noch das Risk-Assessment.

  • Wenn shantyfreun.de von einer falschen Seite eingeframed wird, dann sorgt der targetOrigin-Parameter dafür, dass sie keine Nachrichten bekommt. Das könnte man irgendwie manipulieren (per DevTools oder auf der Leitung) - und was kommt dabei heraus? Die fremde Seite erfährt, wie hoch die Shantyfreun.de Seite ist.

  • Wenn shanty-sfd.de so manipuliert wird, dass es eine falsche Seite einframed, dann hat diese falsche Seite die Möglichkeit, den targetOrigin nach Bedarf zu setzen. Für diesen Fall ist eigentlich die Abfrage auf message.origin da, die sollte nicht wegbleiben. Alternativ geht auch die frame-src CSP.

    Und was kann die falsche eingeframte-Seite damit anrichten? Sie kann ihre Höhe mitteilen. Wenn es aber jemand schafft, den iframe src so zu manipulieren, dass ALLE Besucher von shanty-sfd.de den falschen iframe-Inhalt bekommen und nicht nur der, der gerade auf seinem Browser das src Attribut gefaked hat, dann haben die Shanty-Freunde ein ganz anderes Problem.

Meine Risiko-Beurteilung lautet: gut tragbar.

Wie wäre deine persönlicher Lösungsvorschlag für die Integration der beiden Systeme?

Rolf

--
sumpsi - posui - obstruxi
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen