Implikacje dla bezpieczeństwa dotyczące ustawiania document.domain w treści iframed

Question

Mam dwie subdomeny content i www w domenie example.com. Treść z content.example.com jest prezentowana w www.example.com przez element iframe.

Ponieważ zawartość content.example.com potrzeb przekazać www.example.com mam ustawione document.domain="example.com" a także ustawić allow-scripts i allow-same-origin na iframe.

Obawiam się, że jeśli użytkownicy mogą przesyłać treści wyświetlane w elemencie iframe, może to być przydatne, tj. Wysłać zawartość plików cookie do domeny zdalnej w celu przejęcia sesji lub innych exploitów związanych z bezpieczeństwem.

Ustawiłem inną domenę, www.example2.com i ustawiłem żądanie AJAX w treści iframed na content.example.com, aby przetestować moją teorię i wysyłam document.cookie do domeny zdalnej. Powoduje to, że ciasteczka _ga są wysyłane do domeny zdalnej. W domenie zdalnej zezwoliłem na header('Access-Control-Allow-Origin: *'), więc nie powoduje żadnych problemów.

Dlaczego wysyłane są tylko pliki cookie _ga? Mam wiele innych plików cookie na tej samej domenie i ścieżce co pliki _ga, ale nie są one wysyłane. Czy robią to inne zagrożenia bezpieczeństwa? Najlepiej, jeśli będzie to możliwe tylko w przypadku komunikacji między content.example.com a www.example.com. Wygląda na to, że głównie to robi, z wyjątkiem plików cookie Google Analytics, co może oznaczać, że inni też będą w stanie to zrobić.

Answer 1

Możesz używać JSONP do komunikowania się z różnymi domenami, niezależnie od ustawień i zasad w wielu domenach.

Jednak JSONP wymaga po stronie serwera do budowania funkcji zwrotnej z zwróconymi danymi jako parametrem.

Proponuję załadować zwykłą zawartość Javascript z serwera, który ma taką samą niezależność między domenami i bezpieczeństwo, jak żądanie JSON.

Say masz plik JavaScript, data.js, w content.example.com lub usługi przekazujących tę samą treść co plik w odpowiedzi, z obiektu JSON, z prefiksem o zmiennej Zadanie:

result = { 
    "string1": "text1", 
    "object1": { 
    "string2": "text2", 
    "number1": 5.6 
    }, 
    "number2": 7, 
    "array1": ["text3", "text4"] 
} 

Następnie w swojej stronie internetowej, w www.example.com można mieć skrypt z funkcją loadJS, który ładuje odpowiedź serwera jako skrypt:

var loadJS = function (url, callback) { 
    var script = document.createElement('script'); 
    script.type = "text/javascript"; 
    script.src = url; 
    script.onload = function (ev) { 
    callback(window.result); 
    delete window.result; 
    this.parentNode.removeChild(this); 
    }; 
    document.body.appendChild(script); 
}; 

window.onload = function() { 
    loadJS('http://content.example.com/data.js', function (data) { 
    console.log(data); 
    }); 
}; 

Ta sama funkcja może być użyta w content.example.com dla żądań w przeciwnym kierunku.

W celu ustawienia plików cookie lub wykonywanie innych funkcji dostępnych w JS, skryptu odpowiedź, data.js może zawierać funkcję aniżeli obiekt JSON:

result = (function() { 
    document.cookie = "cookie1=Value1; cookie2=Value2;"; 
    return true; 
})();