Acceder a las cookies de otro dominio usando Iframes y Javascript

Question

Acceder a las cookies de otro dominio usando Iframes y Javascript

#1 de Steffen Ullrich (3 votos)

1

Usando Iframe podemos incrustar páginas web de otro dominio siempre que X-Frame-Options no esté configurado en SAMEORIGIN . Esto también carga la cookie dentro del iframe.
Ahora, uno puede acceder a esta cookie si está en el cuadro iframe usando document.cookie . Quería preguntar si es posible enviar esta cookie enviándola a sí misma (escribiendo un script dentro de la etiqueta de iframe).

Mi opinión:
Esto es posible si podemos escribir la etiqueta script dentro de la etiqueta iframe en la página web. Pero no parece funcionar en mi caso.

También podemos insertar un script dinámicamente dentro del iframe . Quería saber si es posible o no.

Creo que podría no funcionar ya que el iframe cargado podría sobrescribir todo el contenido dentro de la etiqueta iframe y la etiqueta del script podría no funcionar.
Si este es el caso, entonces ¿por qué hay una etiqueta de cierre iframe ? ¿No puede ser solo la etiqueta iframe src="https://abc.def.com" para definir los iframes?

cookies javascript crossdomain

pregunta aka_007 09.02.2016 - 09:13

fuente

1 respuesta

Lea otras preguntas en las etiquetas cookies javascript crossdomain

Detección de fraude para evitar usuarios falsos ¿La configuración de la fecha de su iPhone en la época lo puede bloquear? [cerrado]

score 3 · Accepted Answer

La Política de Same Origin asegura que no se puede leer o modificar el contenido de una página con un origen diferente. En el caso del iframe, esto significa que el marco primario puede reemplazar completamente el iframe (y, por lo tanto, cambiar el origen), pero no puede leer o modificar el contenido del iframe que tiene un origen diferente.

Por lo tanto, leer un origen cruzado de la cookie desde un iframe solo funcionará si el contenido del iframe se comunica explícitamente con el marco principal (como con postMessage) para compartir el valor de la cookie. Por lo general, este no es el caso con orígenes no relacionados, pero si encuentra un ataque XSS en el origen de los iframes, es posible que pueda engañar al iframe para que envíe esta cookie al marco principal.

Tenga en cuenta que X-Frame-Options no está relacionado con la misma política de origen. Solo se utiliza para definir si un sitio se puede colocar en un iframe o no. Esto es importante para defenderse contra Clickjacking u otros ataques de corrección de la interfaz de usuario.