# Iframes katika XSS, CSP na SOP
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)! * Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Je, ungependa kuona **kampuni yako ikionekana katika HackTricks**? Au ungependa kupata ufikiaji wa **toleo jipya zaidi la PEASS au kupakua HackTricks kwa muundo wa PDF**? Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)! * Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family) * Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com) * **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **nifuatilie** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye [repo ya hacktricks](https://github.com/carlospolop/hacktricks) na [repo ya hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
## Iframes katika XSS Kuna njia 3 za kuonyesha maudhui ya ukurasa ulio na iframe: * Kupitia `src` kuonyesha URL (URL inaweza kuwa ya asili tofauti au ya asili sawa) * Kupitia `src` kuonyesha maudhui kwa kutumia itifaki ya `data:` * Kupitia `srcdoc` kuonyesha maudhui **Kupata Var za Wazazi na Watoto** ```html ``` ```html ``` Ikiwa unafikia html iliyotangulia kupitia seva ya http (kama `python3 -m http.server`) utaona kuwa hati zote zitatekelezwa (kwa kuwa hakuna CSP inayozuia hilo)., **mzazi hataweza kupata ufikivu wa `secret` ndani ya kisanduku cha iframe** na **iframes if2 & if3 (ambazo zinachukuliwa kuwa ni tovuti moja) tu ndizo zinaweza kupata ufikivu wa siri** kwenye dirisha asili.\ Tafadhali kumbuka jinsi if4 inachukuliwa kuwa na asili ya `null`. ### Iframes na CSP {% hint style="info" %} Tafadhali, kumbuka jinsi katika kizuizi zifuatazo majibu kwa ukurasa uliofungwa hayana kichwa cha CSP kinachozuia utekelezaji wa JS. {% endhint %} Thamani ya `self` ya `script-src` haitaruhusu utekelezaji wa nambari ya JS kwa kutumia itifaki ya `data:` au sifa ya `srcdoc`.\ Hata hivyo, hata thamani ya `none` ya CSP itaruhusu utekelezaji wa iframes ambazo zinaingiza URL (kamili au tu njia) kwenye sifa ya `src`.\ Kwa hiyo ni rahisi kuzungusha CSP ya ukurasa na: ```html ``` Angalia jinsi **CSP iliyopita inaruhusu utekelezaji wa skripti ya ndani tu**.\ Walakini, **skripti za `if1` na `if2` tu zitatekelezwa lakini `if1` tu itaweza kupata siri ya mzazi**. ![](<../../.gitbook/assets/image (627) (1) (1).png>) Kwa hivyo, ni **inawezekana kukiuka CSP ikiwa unaweza kupakia faili ya JS kwenye seva na kuipakia kupitia iframe hata na `script-src 'none'`**. Hii inaweza **pia kufanywa kwa kutumia mwisho wa JSONP wa tovuti ile ile**. Unaweza kujaribu hii na mazingira yafuatayo ambapo kuki inaibiwa hata na `script-src 'none'`. Chukua programu na ufikie kupitia kivinjari chako: ```python import flask from flask import Flask app = Flask(__name__) @app.route("/") def index(): resp = flask.Response('') resp.headers['Content-Security-Policy'] = "script-src 'self'" resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET' return resp @app.route("/cookie_s.html") def cookie_s(): return "" if __name__ == "__main__": app.run() ``` ### Malipo mengine yaliyopatikana porini ```html ``` ### Iframe sandbox Maudhui ndani ya iframe inaweza kuwekewa vizuizi zaidi kwa kutumia sifa ya `sandbox`. Kwa chaguo-msingi, sifa hii haitekelezwi, maana hakuna vizuizi vilivyowekwa. Inapotumiwa, sifa ya `sandbox` inaweka vizuizi vifuatavyo: - Maudhui yanachukuliwa kama yanatoka kwenye chanzo kimoja tu. - Jaribio lolote la kuwasilisha fomu linazuiliwa. - Utekelezaji wa script unakatazwa. - Upatikanaji wa API fulani unafungwa. - Inazuia viungo kutoka kuingiliana na muktadha mwingine wa kivinjari. - Matumizi ya programu-jalizi kupitia vitambulisho kama vile ``, ``, ``, au vitambulisho vingine vinavyofanana haviruhusiwi. - Uvigezo wa muktadha wa kivinjari wa kiwango cha juu wa maudhui na maudhui yenyewe unazuiliwa. - Vipengele ambavyo huanzishwa moja kwa moja, kama vile kucheza video au kufanya fomu zifanye kazi kiotomatiki, vinazuiliwa. Thamani ya sifa inaweza kuachwa tupu (`sandbox=""`) ili kuweka vizuizi vyote vilivyotajwa hapo juu. Vinginevyo, inaweza kuwekwa kama orodha ya nafasi zilizotenganishwa na nafasi za thamani maalum ambazo zinaondoa iframe kutoka kwa vizuizi fulani. ```html ``` ## Iframes katika SOP Angalia kurasa zifuatazo: {% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md" %} [bypassing-sop-with-iframes-1.md](../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md) {% endcontent-ref %} {% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md" %} [bypassing-sop-with-iframes-2.md](../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md) {% endcontent-ref %} {% content-ref url="../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md" %} [blocking-main-page-to-steal-postmessage.md](../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md) {% endcontent-ref %} {% content-ref url="../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md" %} [steal-postmessage-modifying-iframe-location.md](../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md) {% endcontent-ref %}
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)! * Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Je, ungependa kuona **kampuni yako ikionekana katika HackTricks**? Au ungependa kupata ufikiaji wa **toleo jipya zaidi la PEASS au kupakua HackTricks kwa muundo wa PDF**? Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)! * Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family) * Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com) * **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au **kikundi cha telegram**](https://t.me/peass) au **nifuate** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye [repo ya hacktricks](https://github.com/carlospolop/hacktricks) na [repo ya hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.