# Iframes in XSS, CSP en SOP
{% hint style="success" %}
Leer & oefen AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Leer & oefen GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Ondersteun HackTricks
* Kyk na die [**subskripsie planne**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel hacking truuks deur PRs in te dien na die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Iframes in XSS
Daar is 3 maniere om die inhoud van 'n iframed bladsy aan te dui:
* Via `src` wat 'n URL aandui (die URL kan kruis oorsprong of dieselfde oorsprong wees)
* Via `src` wat die inhoud aandui met die `data:` protokol
* Via `srcdoc` wat die inhoud aandui
**Toegang tot Ouers & Kind vars**
```html
```
```html
```
As jy die vorige html via 'n http-server (soos `python3 -m http.server`) benader, sal jy opgemerk dat al die skripte uitgevoer sal word (aangesien daar geen CSP is wat dit verhinder nie). **die ouer sal nie in staat wees om toegang te verkry tot die `secret` var binne enige iframe nie** en **slegs die iframes if2 & if3 (wat beskou word as dieselfde webwerf) kan toegang verkry tot die geheim** in die oorspronklike venster.\
Let op hoe if4 beskou word as 'n `null` oorsprong.
### Iframes met CSP
{% hint style="info" %}
Let asseblief op hoe in die volgende omseilings die antwoord op die iframed bladsy geen CSP-kop bevat wat JS-uitvoering verhinder nie.
{% endhint %}
Die `self` waarde van `script-src` sal nie die uitvoering van die JS-kode met die `data:` protokol of die `srcdoc` attribuut toelaat nie.\
Ehowever, selfs die `none` waarde van die CSP sal die uitvoering van die iframes toelaat wat 'n URL (volledig of net die pad) in die `src` attribuut plaas.\
Daarom is dit moontlik om die CSP van 'n bladsy te omseil met:
```html
```
Let op hoe die **vorige CSP slegs die uitvoering van die inline script toelaat**.\
Echter, **slegs `if1` en `if2` skripte gaan uitgevoer word, maar slegs `if1` sal toegang hê tot die ouer geheim**.
.png>)
Daarom is dit moontlik om **'n CSP te omseil as jy 'n JS-lêer na die bediener kan oplaai en dit via iframe kan laai, selfs met `script-src 'none'`**. Dit kan **ook moontlik wees om 'n selfde-web JSONP-eindpunt te misbruik**.
Jy kan dit toets met die volgende scenario waar 'n koekie gesteel word, selfs met `script-src 'none'`. Voer eenvoudig die toepassing uit en toegang dit met jou blaaier:
```python
import flask
from flask import Flask
app = Flask(__name__)
@app.route("/")
def index():
resp = flask.Response('')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp
@app.route("/cookie_s.html")
def cookie_s():
return ""
if __name__ == "__main__":
app.run()
```
### Ander Payloads gevind in die natuur
```html
```
### Iframe sandbox
Die inhoud binne 'n iframe kan aan addisionele beperkings onderwerp word deur die gebruik van die `sandbox` attribuut. Standaard word hierdie attribuut nie toegepas nie, wat beteken dat daar geen beperkings in plek is nie.
Wanneer dit gebruik word, plaas die `sandbox` attribuut verskeie beperkings:
* Die inhoud word behandel asof dit van 'n unieke bron afkomstig is.
* Enige poging om vorms in te dien, word geblokkeer.
* Uitvoering van skripte is verbode.
* Toegang tot sekere API's is gedeaktiveer.
* Dit verhoed dat skakels met ander blaai-kontekste interaksie het.
* Gebruik van plugins via `
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)
[**HackTricks Training GCP Red Team Expert (GRTE)**