# Iframes katika XSS, CSP na SOP
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa nahtARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
* Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Je, ungependa kuona **kampuni yako ikionekana katika HackTricks**? Au ungependa kupata ufikiaji wa **toleo jipya zaidi la PEASS au kupakua HackTricks kwa muundo wa PDF**? Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **nifuatilie** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye [repo ya hacktricks](https://github.com/carlospolop/hacktricks) na [repo ya hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
## Iframes katika XSS
Kuna njia 3 za kuonyesha maudhui ya ukurasa ulio na iframe:
* Kupitia `src` kuonyesha URL (URL inaweza kuwa ya asili tofauti au ya asili sawa)
* Kupitia `src` kuonyesha maudhui kwa kutumia itifaki ya `data:`
* Kupitia `srcdoc` kuonyesha maudhui
**Kupata Var za Wazazi na Watoto**
```html
```
```html
```
Ikiwa unafikia html iliyotangulia kupitia seva ya http (kama `python3 -m http.server`) utaona kuwa hati zote zitatekelezwa (kwa kuwa hakuna CSP inayozuia hilo)., **mzazi hataweza kupata ufikivu wa `secret` ndani ya kisanduku cha iframe** na **iframes if2 & if3 (ambazo zinachukuliwa kuwa ni tovuti moja) tu ndizo zinaweza kupata ufikivu wa siri** kwenye dirisha asili.\
Tafadhali kumbuka jinsi if4 inachukuliwa kuwa na asili ya `null`.
### Iframes na CSP
{% hint style="info" %}
Tafadhali, kumbuka jinsi katika kizuizi zifuatazo majibu kwa ukurasa uliofungwa hayana kichwa cha CSP kinachozuia utekelezaji wa JS.
{% endhint %}
Thamani ya `self` ya `script-src` haitaruhusu utekelezaji wa nambari ya JS kwa kutumia itifaki ya `data:` au sifa ya `srcdoc`.\
Hata hivyo, hata thamani ya `none` ya CSP itaruhusu utekelezaji wa iframes ambazo zinaingiza URL (kamili au tu njia) kwenye sifa ya `src`.\
Kwa hiyo ni rahisi kuzungusha CSP ya ukurasa na:
```html
```
Angalia jinsi **CSP iliyopita inaruhusu utekelezaji wa skripti ya ndani tu**.\
Walakini, **skripti za `if1` na `if2` tu zitatekelezwa lakini `if1` tu itaweza kupata siri ya mzazi**.
![](<../../.gitbook/assets/image (627) (1) (1).png>)
Kwa hivyo, ni **inawezekana kukiuka CSP ikiwa unaweza kupakia faili ya JS kwenye seva na kuipakia kupitia iframe hata na `script-src 'none'`**. Hii inaweza **pia kufanywa kwa kutumia mwisho wa JSONP wa tovuti ile ile**.
Unaweza kujaribu hii na mazingira yafuatayo ambapo kuki inaibiwa hata na `script-src 'none'`. Chukua programu na ufikie kupitia kivinjari chako:
```python
import flask
from flask import Flask
app = Flask(__name__)
@app.route("/")
def index():
resp = flask.Response('')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp
@app.route("/cookie_s.html")
def cookie_s():
return ""
if __name__ == "__main__":
app.run()
```
### Malipo mengine yaliyopatikana porini
```html
```
### Iframe sandbox
Maudhui ndani ya iframe inaweza kuwekewa vizuizi zaidi kwa kutumia sifa ya `sandbox`. Kwa chaguo-msingi, sifa hii haitekelezwi, maana hakuna vizuizi vilivyowekwa.
Inapotumiwa, sifa ya `sandbox` inaweka vizuizi vifuatavyo:
- Maudhui yanachukuliwa kama yanatoka kwenye chanzo kimoja tu.
- Jaribio lolote la kuwasilisha fomu linazuiliwa.
- Utekelezaji wa script unakatazwa.
- Upatikanaji wa API fulani unafungwa.
- Inazuia viungo kutoka kuingiliana na muktadha mwingine wa kivinjari.
- Matumizi ya programu-jalizi kupitia vitambulisho kama vile `