Přejít k navigační liště

Zdroják » Zprávičky » Bezpečnostní problém gadgetů v iframe

Bezpečnostní problém gadgetů v iframe

Zprávičky Různé

Michael Mahemoff (spoluautor knihy The Art & Science of JavaScript) se zamýšlí nad bezpečností gadgetů na webových stránkách. Gadgety jsou malé webové aplikace obvykle hostované v iframe jiné webové stránky. Michael upozorňuje, že běh gadgetů v iframe není bezpečný, jelikož gadget může místo hlavního dokumentu nahrát stránku vlastní a dosud neexistuje cesta, jak tomu zabránit:

V tuhle chvíli neumíme problém vyřešit. Jednou možností by bylo, aby se kontejner pokusil něco udělat v zřídka používané metodě onexit(), která se spustí dříve, než se nová stránka načte. Ale práce na WebWait, který je k problému rovněž náchylný, mně ukázala, že v této fázi nemůžete udělat už nic, ani zjistit, zda opuštění stránky bylo vyvoláno iframem nebo uživatelem zadávajícím novou adresu.

Michal také nastiňuje možné řešení:Řešením by v budoucnu mohla být Caja, pokud bude připravena na produkční použití. Caja zaručí bezpečnou podmnožinu JavaScriptu, takže kontejner, jako je iGoogle, může nabízet pouze gadgety, které se ukázaly jako bezpečné. (Zdroj: Softwareas.com)

Pozn.: S řešením přichází také HTML5, které zavádí u iframe nový atribut sandbox. Ten mj. zabrání, aby iframe mohl změnit adresu hlavního dokumentu.

Komentáře

Odebírat
Upozornit na
guest
0 Komentářů
Nejstarší
Nejnovější Most Voted

Co je nového v Gitu 2.55.0

Git 2.55.0 přináší šest zajímavých novinek – od dlouho očekávané podpory fsmonitoru na Linuxu, přes zjednodušení úprav historie commitů pomocí nového příkazu git history fixup, až po další krok v postupné integraci jazyka Rust do jádra Gitu. Přidává se i možnost pushovat do skupiny vzdálených repozitářů, omezit šířku grafu u git log --graph a zrychlit git grep a git cherry v částečných klonech.

Od statických stránek k edge computingu: Historie webových technologií za 30 let

Třicet let. Tak dlouho už web existuje v podobě, kterou bychom dnes alespoň zhruba poznali — od prvních statických dokumentů přes éru aplikací běžících v prohlížeči až po kód, který se spouští na stovkách míst po celém světě jen pár milisekund od uživatele. Tenhle příběh ale není jen suchým výčtem technologií a verzí. Je to příběh jednoho kyvadla, které se celé tři dekády houpe mezi serverem a klientem — a které právě teď nachází nový bod rovnováhy někde uprostřed, na okraji sítě.