如果您使用过Google Wave或iGoogle,您可能已经看到可以在未经批准的情况下插入由第三方制作的小部件。我的问题是:如何阻止widge执行XSS或牛排饼干?小部件是否加载到<iframe>?如果是,那么是什么阻止他们将您重定向到另一个页面?
由于
答案 0 :(得分:3)
是的,他们使用iframe来托管不受信任的内容。他们无法窃取cookie,因为此内容托管在不同的域(gmodules.com)上,浏览器会阻止跨域交互。
关于重定向,iframe中托管的模块可以更改window.location(但令人惊讶的是,无法读取它)。因此,用户上传的模块中的恶意代码可能会将您带到欺骗性的Google登录页面,企图窃取您的密码。
答案 1 :(得分:0)
据我所知,他们可以将您重定向到另一个页面。
答案 2 :(得分:0)
我认为这是因为如果他们这样做,那些小部件就会被禁止。
HTML5小组正在使用iframe中的“沙盒”属性来解决此问题的真实(技术而非合法)解决方案。