# Bypassing SOP with Iframes - 1 {{#include ../../banners/hacktricks-training.md}} ## Iframes in SOP-1 在这个[**挑战**](https://github.com/terjanq/same-origin-xss)中，由[**NDevTK**](https://github.com/NDevTK)和[**Terjanq**](https://github.com/terjanq)创建，你需要利用编码中的XSS进行攻击。 ```javascript const identifier = "4a600cd2d4f9aa1cfb5aa786" onmessage = (e) => { const data = e.data if (e.origin !== window.origin && data.identifier !== identifier) return if (data.type === "render") { renderContainer.innerHTML = data.body } } ``` 主要问题是[**主页面**](https://so-xss.terjanq.me)使用DomPurify发送`data.body`，因此为了将自己的html数据发送到该代码中，需要**绕过**`e.origin !== window.origin`。让我们看看他们提出的解决方案。 ### SOP 绕过 1 (e.origin === null) 当`//example.org`嵌入到一个**沙箱iframe**中时，页面的**origin**将是**`null`**，即**`window.origin === null`**。因此，仅通过`