# Bypassing SOP with Iframes - 1 {{#include ../../banners/hacktricks-training.md}} ## Iframes in SOP-1 이 [**도전 과제**](https://github.com/terjanq/same-origin-xss)는 [**NDevTK**](https://github.com/NDevTK)와 [**Terjanq**](https://github.com/terjanq)가 만든 것으로, 코딩된 XSS를 이용해야 합니다. ```javascript const identifier = "4a600cd2d4f9aa1cfb5aa786" onmessage = (e) => { const data = e.data if (e.origin !== window.origin && data.identifier !== identifier) return if (data.type === "render") { renderContainer.innerHTML = data.body } } ``` 주요 문제는 [**메인 페이지**](https://so-xss.terjanq.me)가 DomPurify를 사용하여 `data.body`를 전송하기 때문에, 자신의 HTML 데이터를 해당 코드로 전송하려면 **bypass** `e.origin !== window.origin`을 해야 한다는 것입니다. 제안된 해결책을 살펴보겠습니다. ### SOP bypass 1 (e.origin === null) `//example.org`가 **sandboxed iframe**에 포함되면, 페이지의 **origin**은 **`null`**이 됩니다. 즉, **`window.origin === null`**입니다. 따라서 `