# Iframes in XSS, CSP en SOP {{#include ../../banners/hacktricks-training.md}} ## Iframes in XSS Daar is 3 maniere om die inhoud van 'n iframed bladsy aan te dui: - Deur `src` wat 'n URL aandui (die URL kan kruis oorsprong of dieselfde oorsprong wees) - Deur `src` wat die inhoud aandui met die `data:` protokol - Deur `srcdoc` wat die inhoud aandui **Toegang tot Ouers & Kind vars** ```html ``` ```html ``` As jy die vorige html via 'n http-server (soos `python3 -m http.server`) benader, sal jy opgemerk dat al die skripte uitgevoer sal word (aangesien daar geen CSP is wat dit verhinder nie). **die ouer sal nie in staat wees om toegang te verkry tot die `secret` var binne enige iframe nie** en **slegs die iframes if2 & if3 (wat beskou word as dieselfde webwerf) kan toegang verkry tot die geheim** in die oorspronklike venster.\ Let op hoe if4 beskou word as 'n `null` oorsprong. ### Iframes met CSP > [!NOTE] > Let asseblief op hoe in die volgende omseilings die antwoord op die iframed bladsy geen CSP-kop bevat wat JS-uitvoering verhinder nie. Die `self` waarde van `script-src` sal nie die uitvoering van die JS-kode met die `data:` protokol of die `srcdoc` attribuut toelaat nie.\ Echter, selfs die `none` waarde van die CSP sal die uitvoering van die iframes toelaat wat 'n URL (volledig of net die pad) in die `src` attribuut plaas.\ Daarom is dit moontlik om die CSP van 'n bladsy te omseil met: ```html ``` Let op hoe die **vorige CSP slegs die uitvoering van die inline skrip toelaat**.\ Echter, **slegs `if1` en `if2` skripte gaan uitgevoer word, maar slegs `if1` sal toegang hê tot die ouer geheim**. ![](<../../images/image (372).png>) Daarom is dit moontlik om **'n CSP te omseil as jy 'n JS-lêer na die bediener kan oplaai en dit via iframe kan laai, selfs met `script-src 'none'`**. Dit kan **ook potensieel gedoen word deur 'n same-site JSONP-eindpunt te misbruik**. Jy kan dit toets met die volgende scenario waar 'n koekie gesteel word selfs met `script-src 'none'`. Voer eenvoudig die toepassing uit en toegang dit met jou blaaier: ```python import flask from flask import Flask app = Flask(__name__) @app.route("/") def index(): resp = flask.Response('') resp.headers['Content-Security-Policy'] = "script-src 'self'" resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET' return resp @app.route("/cookie_s.html") def cookie_s(): return "" if __name__ == "__main__": app.run() ``` ### Ander Payloads gevind in die natuur ```html ``` ### Iframe sandbox Die inhoud binne 'n iframe kan aan addisionele beperkings onderwerp word deur die gebruik van die `sandbox` attribuut. Standaard word hierdie attribuut nie toegepas nie, wat beteken dat daar geen beperkings in plek is nie. Wanneer dit gebruik word, plaas die `sandbox` attribuut verskeie beperkings: - Die inhoud word behandel asof dit van 'n unieke bron afkomstig is. - Enige poging om vorms in te dien, word geblokkeer. - Uitvoering van skripte is verbode. - Toegang tot sekere API's is gedeaktiveer. - Dit verhoed dat skakels met ander blaai-kontekste interaksie het. - Gebruik van plugins via ``, ``, ``, of soortgelyke etikette is verbode. - Navigasie van die inhoud se topvlak blaai-konteks deur die inhoud self word verhoed. - Kenmerke wat outomaties geaktiveer word, soos video-afspeel of outomatiese fokus van vormbeheer, word geblokkeer. Die attribuut se waarde kan leeg gelaat word (`sandbox=""`) om al die bogenoemde beperkings toe te pas. Alternatiewelik kan dit gestel word op 'n spasie-geskeide lys van spesifieke waardes wat die iframe van sekere beperkings vrystel. ```html ``` ## Iframes in SOP Kyk na die volgende bladsye: {{#ref}} ../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md {{#endref}} {{#ref}} ../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md {{#endref}} {{#ref}} ../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md {{#endref}} {{#ref}} ../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md {{#endref}} {{#include ../../banners/hacktricks-training.md}}