El widget de Google +1 es JavaScript que se ejecuta en su sitio web que está creando un iframe
. Este widget de JavaScript se ejecuta en el contexto de su sitio web y, por lo tanto, no está limitado por las Reglas de herencia de origen para iframes . Por lo tanto, este widget de JavaScript puede establecer los eventos DOM que desee en el sitio principal, aunque parezca ser un simpleiframe
.
Otra cosa, ¿por qué utiliza Google un iframe
? ¿Por qué no solo generar un div
en la página? Bueno, debido a que el enlace se origina en el iframe
, un token CSRF (falsificación de solicitud entre sitios) se puede incrustar en la solicitud y el sitio principal no puede leer este token y falsificar la solicitud. Entonces eliframe
es una medida anti-CSRF que se basa en las reglas de herencia de origen para protegerse de un padre malintencionado.
Desde una perspectiva de ataque, esto se parece más a XSS (scripting entre sitios) que a UI-Redress. Le está dando acceso a Google a su sitio web y podrían secuestrar las cookies de sus usuarios o actuar XmlHttpRequests
contra su sitio web si así lo desean (pero luego las personas los demandarían por ser maliciosos y ricos).
En esta situación, DEBE confiar en Google, pero Google no confía en usted.
Hay formas de mitigar el impacto en la privacidad de estos errores web .
<iframe>
, lo que sugiere que puede ser cierto (y explique cómo es posible). Pero no parece ser que este sea el caso, desde la inspección del DOM. ¡Y expondría mi nombre y dirección de Gmail a padres maliciosos (a menos que se envuelva en un segundoiframe
)!