# Steal postmessage modifying iframe location
{{#include ../../banners/hacktricks-training.md}}
## 子iframeの位置を変更する
[**この書き込み**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)によると、X-Frame-Headerがないウェブページをiframeにでき、その中に別のiframeが含まれている場合、**その子iframeの位置を変更することができます**。
例えば、abc.comがefg.comをiframeとして持ち、abc.comにX-Frameヘッダーがない場合、**`frames.location`**を使用してefg.comをevil.comにクロスオリジンで変更することができます。
これは特に**postMessages**で有用です。なぜなら、ページが**ワイルドカード**を使用して機密データを送信している場合、例えば`windowRef.postmessage("","*")`のように、**関連するiframe(子または親)の位置を攻撃者が制御する場所に変更し、そのデータを盗むことが可能です**。
```html
```
{{#include ../../banners/hacktricks-training.md}}