# Postmessage'i çalarak iframe konumunu değiştirme
{{#include ../../banners/hacktricks-training.md}}
## Çocuk iframelerin konumlarını değiştirme
[**bu yazıya**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/) göre, X-Frame-Header içermeyen bir web sayfasını iframe'leyebiliyorsanız ve bu sayfa başka bir iframe içeriyorsa, **o çocuk iframenin konumunu değiştirebilirsiniz**.
Örneğin, abc.com efg.com'u iframe olarak içeriyorsa ve abc.com X-Frame başlığına sahip değilse, efg.com'u evil.com olarak cross origin değiştirebilirim, **`frames.location`** kullanarak.
Bu, **postMessages** için özellikle faydalıdır çünkü bir sayfa, **wildcard** kullanarak hassas veriler gönderiyorsa `windowRef.postmessage("","*")`, **ilgili iframenin (çocuk veya ebeveyn) konumunu bir saldırganın kontrolündeki bir konuma değiştirmek** ve bu veriyi çalmak mümkündür.
```html
```
{{#include ../../banners/hacktricks-training.md}}