4
如果您使用过Google Wave或iGoogle,您可能已经看到您可以插入未经批准由第三方制作的小部件。我的问题是:如何防止窗体执行XSS或牛排饼干?小部件是否加载在?如果是,那么是什么阻止他们将您重定向到另一个页面?Google Wave和iGoogle如何通过小部件阻止XSS?
谢谢
A
回答
3
是的,他们使用iframe来托管不受信任的内容。他们无法窃取cookie,因为这些内容位于不同的域(gmodules.com)上,并且浏览器阻止了跨域交互。
关于重定向,托管在iframe中的模块可以更改window.location(但令人惊讶的是,无法读取它)。因此,用户上传模块中的恶意代码可能会将您带到欺骗性Google登录页面,企图窃取您的密码。
0
据我所知,他们可以将您重定向到另一个页面。
0
我认为这是因为如果他们这样做,这些小部件将被禁止。
HTML5小组正在使用iframe中的“sandbox”属性处理此问题的真实(技术性而非法律性)解决方案。
相关问题
- 1. Chrome阻止Javascript,Google Wave,Google小工具
- 2. 通过Google Wave开发团队协作
- 3. 我可以通过使用会话阻止XSS攻击吗?
- 4. 试图阻止通过URL执行恶意XSS脚本
- 5. 阻止SSS中的XSS
- 6. 如何通过JWTAuth和Laravel阻止通过id访问Model?
- 7. 访问Google Wave小部件中其他页面的内容?
- 8. 如何在igoogle小部件中传递userpref变量
- 9. 如何通过jQuery阻止警报框
- 10. 如何通过iptables阻止Youtube
- 11. 如何阻止mplayer通过python播放
- 12. 如何获取Wave Wave的Wave ID和Wave ID的内容?
- 13. 如何阻止Wordpress仪表板小部件被拖动?
- 14. 如何在切换小部件打开时阻止来电?
- 15. 如何阻止短信和通话?
- 16. 阻止Google表单舍入小数点
- 17. 通过URL阻止访问文件
- 18. 在iGoogle上设计一个像google reader一样的无限滚动小部件
- 19. 通过htaccess阻止外部http请求到某个文件夹
- 20. 如何通过unity3d阻止两个gameobjects彼此通过
- 21. 阻止连接通过IP
- 22. 阻止通过URL下载
- 23. Google Wave Sandbox
- 24. Google Wave小工具:gadgets.window未定义
- 25. 如何阻止Firefox通过Firefox扩展下载和应用CSS?
- 26. Yii2:通过小部件
- 27. codeigniter中的XSS过滤不会阻止SQL注入吗?
- 28. 如何在Google Wave小工具中嵌入SVG标签?
- 29. 如何让一些标签,但阻止其他XSS
- 30. 如何阻止我们的跨站脚本(XSS)URL?