Google Wave 또는 iGoogle을 사용했다면 승인없이 제 3자가 만든 위젯을 삽입 할 수 있다고 생각한 것 같습니다. 제 질문은 : 위젯이 XSS 또는 스테이크 쿠키를 수행하는 것을 어떻게 막을 수 있습니까? 위젯이 에로드 되었습니까? 그렇다면 다른 페이지로 사용자를 리디렉션하지 못하게하는 요인은 무엇입니까?Google Wave & iGoogle은 위젯을 통해 XSS를 어떻게 방지합니까?
감사합니다.
예, 신뢰할 수없는 콘텐츠를 호스팅하기 위해 iframe을 사용합니다. 이 콘텐츠는 다른 도메인 (gmodules.com)에서 호스팅되기 때문에 쿠키를 도용 할 수 없으며 브라우저가 도메인 간 상호 작용을 차단합니다.
리디렉션과 관련하여 iframe에서 호스팅되는 모듈은 window.location을 변경할 수 있지만 놀랍게도 읽을 수는 없습니다. 따라서 사용자 업로드 모듈의 악성 코드가 사용자의 비밀번호를 도용하기 위해 스푸핑 된 Google 로그인 페이지로 이동하는 것이 가능합니다.
그들은 내가 아는 한 다른 페이지로 리디렉션 할 수 있습니다.
나는 위젯이 그렇게하면 금지 될 것이라고 생각합니다.
HTML5 그룹은 iframe에서 '샌드 박스'속성을 사용하여이 문제에 대한 실제 (기술적 인 것이 라기보다는 기술적 인) 해결책을 만들고 있습니다.