4
如果您使用過Google Wave或iGoogle,您可能已經看到您可以插入未經批准由第三方製作的小部件。我的問題是:如何防止窗體執行XSS或牛排餅乾?小部件是否加載在?如果是,那麼是什麼阻止他們將您重定向到另一個頁面?Google Wave和iGoogle如何通過小部件阻止XSS?
謝謝
A
回答
3
是的,他們使用iframe來託管不受信任的內容。他們無法竊取cookie,因爲這些內容位於不同的域(gmodules.com)上,並且瀏覽器阻止了跨域交互。
關於重定向,託管在iframe中的模塊可以更改window.location(但令人驚訝的是,無法讀取它)。因此,用戶上傳模塊中的惡意代碼可能會將您帶到欺騙性Google登錄頁面,企圖竊取您的密碼。
0
據我所知,他們可以將您重定向到另一個頁面。
0
我認爲這是因爲如果他們這樣做,這些小部件將被禁止。
HTML5小組正在使用iframe中的「sandbox」屬性處理此問題的真實(技術性而非法律性)解決方案。
相關問題
- 1. Chrome阻止Javascript,Google Wave,Google小工具
- 2. 通過Google Wave開發團隊協作
- 3. 我可以通過使用會話阻止XSS攻擊嗎?
- 4. 試圖阻止通過URL執行惡意XSS腳本
- 5. 阻止SSS中的XSS
- 6. 如何通過JWTAuth和Laravel阻止通過id訪問Model?
- 7. 訪問Google Wave小部件中其他頁面的內容?
- 8. 如何在igoogle小部件中傳遞userpref變量
- 9. 如何通過jQuery阻止警報框
- 10. 如何阻止mplayer通過python播放
- 11. 如何通過iptables阻止Youtube
- 12. 如何獲取Wave Wave的Wave ID和Wave ID的內容?
- 13. 防止通過URL(PHP)XSS攻擊
- 14. 如何阻止Wordpress儀表板小部件被拖動?
- 15. 如何在切換小部件打開時阻止來電?
- 16. 在iGoogle上設計一個像google reader一樣的無限滾動小部件
- 17. 如何阻止短信和通話?
- 18. Google Wave Sandbox
- 19. 阻止Google表單舍入小數點
- 20. 通過URL阻止訪問文件
- 21. Google Wave小工具:gadgets.window未定義
- 22. 通過htaccess阻止外部http請求到某個文件夾
- 23. 如何通過unity3d阻止兩個gameobjects彼此通過
- 24. Struts標籤是否阻止XSS
- 25. 阻止連接通過IP
- 26. 阻止通過URL下載
- 27. 如何阻止Firefox通過Firefox擴展下載和應用CSS?
- 28. 如何防止對XSS和SQL注入
- 29. 如何在Google Wave小工具中嵌入SVG標籤?
- 30. 如何驗證Appengine上的Google Wave小工具查看器?