Если вы использовали Google Wave или iGoogle, вы, вероятно, видели, что вы можете вставлять виджеты, которые сделаны сторонними лицами без одобрения. Мой вопрос: как предотвратить использование виджета XSS или стейк-куки? Загружены ли виджеты в ? Если да, то что мешает им перенаправлять вас на другую страницу?Как Google Wave и iGoogle предотвращают использование XSS XSS?
Благодаря
Да, они используют iframes для размещения ненадежного контента. Они не могут украсть файлы cookie, потому что это содержимое размещено в другом домене (gmodules.com), и браузер предотвращает междоменное взаимодействие.
Что касается перенаправления, модуль, размещенный в iframe, может изменить окно.location (но удивительно, не может его прочитать). Таким образом, вредоносный код в загружаемом пользователем модуле может привести вас к поддельной странице входа google, чтобы украсть ваш пароль.
Они могут перенаправить на другую страницу, насколько я знаю.
Я предполагаю, что это связано с тем, что эти виджеты будут запрещены, если они это сделают.
Группа HTML5 работает над реальным (техническим, а не законным) решением этой проблемы, используя атрибут «песочница» в iframe.