問題タブ [same-origin-policy]

Windows マシンで JavaScript を開発したいと考えています。ローカルで開発できるように、 Same Origin Policyをオフにできるブラウザーを知っていますか? Firefox が最適です。

または、SOAP/WSDL サイトに使用できるプロキシを知っていれば、それも素晴らしいでしょう。

JavaSCript SOAP Clientを使用しようとしています。

jQueryを使用してiframe内のHTMLを操作したいと思います。

jQuery関数のコンテキストをiframeのドキュメントに設定することで、これを行うことができると思いました。

しかし、これはうまくいかないようです。少し調べてみると、iframe が読み込まれるまでしばらく待たない限り、変数frames['nameOfMyIframe']はそのままであることがわかります。undefinedただし、iframe が読み込まれると、変数にアクセスできなくなります ( permission denied-type エラーが発生します)。

これに対する回避策を知っている人はいますか？

私は自分の大学で XSS レポートを作成しており、AJAX を使用して外部 Web ページを呼び出していくつかのテストを行っています。

この例で使用しているコードは非常に単純です。目標とするケーススタディの 1 つは、クロス サイトを無効にして AJAX 経由で外部の Web ページを呼び出せるようにすることです。

ノート：

これは FireFox でのみ使用する予定であり、IE の互換性については心配していません。

ここでの問題は、例外がキャッチされないことです。制限された URI へのアクセスが拒否されました (NS_ERROR_DOM_BAD_URI)がスローされます。私は周りを検索してきましたが、これを回避するために見つけた最良の情報はjsonでjqueryを使用することでしたが、それは私には合いません.別の例はthis one (in french)でした.

誰でもこれを行う方法を説明できますか? それとも、同じオリジンポリシーのために解決できないだけですか?

編集：

誰かが知っている場合、Google は Google アナリティクスを通じてどのように値を投稿しますか? または、この問題は get でのみ発生し、post では発生しませんか? いくつかの助けがいいでしょう。

クロスドメインポリシーは、別のドメインからのコンテンツのダウンロードを制限します。

しかし、同じドメインから別のプロトコルを介してダウンロードすることは許可されており、日常のWebブラウザーで機能しますか（誰かがテストできますか）？

サーバーでホストされていないファイルを使用して、JavaScript + +の Mozilla のデモ使用を半再現しようとしています。<video><canvas>

ドキュメントをロードすると、エラー コンソールに次のエラーが報告されます。

エラー: キャッチされない例外: [Exception... "Security error" コード: "1000" nsresult: "0x805303e8 (NS_ERROR_DOM_SECURITY_ERR)" location: "file:///media/disk/javascript/html5/chromakey/chromakey1.htm Line: 23"]

23行目は次のとおりです。

次のように、以前にビデオのフレームをコピーしたキャンバスから画像データを取得しようとしています。

this.inputElementこの（かなり退屈な）要素を参照する場所：

JAR でコードに署名せずにこのエラーを回避する方法はありますか?

Firefox の同一オリジン ポリシー ( https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript ) がローカル ファイル アクセスに問題があることに関係していると思いますが、そこからどこへ行くべきかわかりません。

シーン: 埋め込み可能なウィジェットを作成しています。<script>これは、表示する必要があるすべてを含む iframe を構築するタグの形式をとります。iframe には がなくsrc、スクリプトは で書き込みますtheIframe.contentWindow.document.write()。これにより、ウィジェットが含まれたままになり、要素 ID とスクリプトがウィジェットが埋め込まれているページと競合しなくなります。

秘訣: ウィジェットはサイズを変更できる必要があります。これを行うには、それを含む iframe を設定しますstyle.height。これには、外側のページの DOM へのアクセスが必要です。FirefoxおよびIEでは、iframe のドキュメントと外側のドキュメントがオリジンを共有すると見なされるため、これが許可されます。

ひねり:ただし、 Safariでは、2 つのドキュメントはオリジンを共有していないと見なされます。内側の文書は にあると見なされますがabout:blank、外側の文書は明らかに異なるプロトコルと「ドメイン」を使用しています (ドメインblankと見なすことができる場合)。

質問: Safari/WebKit がそれを作成するウィンドウのドキュメントと同じオリジンを持つと見なすドキュメントの iframe をプログラムで構築するにはどうすればよいですか?

編集about:blank:さらに実験を重ねた結果、内容を変更するかどうかに関係なく、位置が変わらない iframe をプログラムで作成する方法が見つかりません。

でフレームを作成し、document.createElement()「srcfoo.html」と呼ばれる同じオリジンの実際の HTML リソースを指す を指定するdocument.body.appendChild()と、Safari のコンソールは DOM で期待どおりに要素を表示しますが、ページのコンテンツは表示されません。が表示され、ドキュメントはサイドバーに「about:blank」としてリストされます。

iframe の HTML をページに直接含めると、コンテンツがfoo.html表示され、サイドバーに「foo.html」が表示されます。

を使用して HTML を挿入すると、 を使用した場合とdocument.write()同じ結果が得られdocument.body.appendChild()ます。

どちらのプログラム版も Firefox で動作します。

応答にトークンを追加することに依存する XSRF ソリューションをいくつか読んだことがあります。これは、POST でのみ実行されるコードを保護するのに役立ちます。

つまり、これは HTTP GET に応答するページに依存するワンステップ攻撃になります。

しかし、jquery のような優れたライブラリを使用すると、悪意のある Javascript XmlHttpRequest スクリプトを簡単に記述できるようになり、2 段階の攻撃 (GET、Anti-XSRF ビューステート/クエリ文字列/追加の Cookie などの解析) を実行してから POST を送信できます。(それとも? AES がすぐにクラックされる心配はありません。HTTP POST アクションをターゲットとする 2 ステップ XSRF 攻撃が、上記の img タグ攻撃と同じくらい簡単になることを心配する必要がありますか?)

1 ステップ攻撃は、ほとんどの場合、GET で機密性の高い操作を行わないことで阻止できると思います。両方の種類の攻撃は、Web サイトのユーザーに CAPTCHA を解決するよう要求することで阻止できます。CAPTCHA は、すべての URL に必要なクエリ文字列トークンを生成します。残りのセッションは？

これまでのところ、OCR ソフトウェアがテキストを読み取れる場合や機械的なターク コンポーネントがある場合など、CAPTCHA が失敗した場合にのみ失敗するようです。

編集: 念頭に置いている特定の攻撃は、xhr javascript またはイメージ タグを含む電子メールです。そのため、コードは電子メール クライアントのブラウザで実行されるか、ローカル ファイル システムから読み込まれた HTML ページから実行されます。簡単にするために、このサイトには XSS 脆弱性がない (つまり、サイトが応答として送信する HTML に悪意のあるユーザーが HTML を挿入する機会がない) と想像しています。

あるドメインからロードされた親フレームと別のドメインからの包含フレームで構成されるフレームセットがあるという問題があります。含まれるドメインは、フレームセットがロードされる前に Cookie も設定します。ただし、ほとんどのブラウザーで適用される「同一生成元」ポリシーにより、含まれているフレームは、親と同じドメインからのものでない場合、Cookie を渡しません。

残念ながら、親フレーム (またはその URL) を制御することはできず、含まれているフレームの URL は事実上静的です。そのため、含まれているサイトに情報を渡す唯一の方法は、Cookie を使用することです。

私が思いついた唯一の解決策は、親フレームに含まれているドメインをリロードすることですが、これはそもそもフレームを使用する価値の一部を無効にします。

誰かがこの問題を回避するより良い方法を持っていますか?

から：https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

では、次のようなスクリプトタグがある場合、なぜ同一生成元ポリシーが適用されないのですか？

私は「何か」が欠けていると確信しています
。http：
//code.google.com/p/browsersec/wiki/Part2#Same-origin_policyを何度も読んだことがありますが、理解できません...