• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

I Frame und Cookie

T

Tomcat 12345

Neues Mitglied
Hi,

kann man aus einem Iframe auf das Cookie des Fensters zugreifen in dem das Iframe eingebettet ist, wenn ja wie und wie kann man es verhindern, wenn man keinen Zugang zum Inhalt des Iframes hat.

Danke ;)
 
Werbung:
Nein, das geht nicht wenn umgebende Seite und iframe-Seite auf 2 unterschiedlichen Domains laufen.
 
Ok, vielen Dank...

Und nur zur Sicherheit, wenn ein Flash Objekt in einer Webseite eingebettet ist und ebenfalls von einer fremden Domain kommt, dann kann es ja sicherlich auch nicht auf das Cookie zugreifen... aber auf das Cookie seiner eigenen Domain schon, oder ist das anders?
 
Werbung:
Bei Flash bin ich mir da überhaupt nicht sicher. Ich tippe jedoch stark darauf, dass das auf Grund unterschiedlicher Sicherheitseinstellungen browserabhängig ist.
 
Ich habe geschaut und es scheint eher nicht zu funktionieren, aber irgendwie liest man ab und an, dass diese policies nicht 100% umgesetzt werden oder wurden von den Browsern. Aber generell scheint es die Trennung von Cookie nach Domains grundsätzlich immer zu geben.

Wenn man das Cookie auf HTTPOnly stellt, dann wird die Sache noch erheblich sicherer.

Jetzt noch eine weitere Frage in diesem Zusammenhang: Kann man mit Javascript ein Eingabefeld des Typs Passwort abfragen während der Eingabe. Eigentlich müsste das doch gesperrt sein.

Nur mal zum Hintergrund, ich arbeite an einem Projekt, bei dem Benutzer Webseiten per Baukasten erstellen können, dabei HTML Codefetzen einbinden dürfen und fertige Module einbiden können. Alle Seiten laufen auf der gleichen Domain. Ist ein Unterhaltungsprojekt, also wenn mal was schief geht, fällt nicht gleich die Welt auseinander, aber sollte vermieden werden... Dateien kann der Benutzer auf diese Domain nicht hochladen.

Die Frage ist, ob die Loginfelder auf der gleichen Seite erscheinen können, wo der User auch Javascript Code platzieren kann. Wenn man das Passwort bei der Eingabe auslesen könnte, müsste es auf eine extra Seite.
 
Werbung:
Ok, danke für die Hilfe!

Ich werde das Login jetzt in ein Popup machen und nachdem korrekt eingeloggt wurde, schließt sich das Popup von selbst und führt einen Reload der Hauptseite durch.

Da man vom Popup auf die Öffner-Seite und von der Öffner-Seite auch auf das Popup zugreifen kann frage ich zur Sicherheit noch mal: Sind die Eingabefelder im Popup vom Zugriff durch Javascripte des Öffnerfensters geschützt.

Ein Freund ist ein guter Javascript Programmierer und meinte das wird vom Browser blockiert... Aber Browser gibt es ja bekanntlich viele.
 
Popups werden tatsächlich von allen modernen Browsern unterdrückt. Damit machst Du vermutlich 98% deiner Besucher unglücklich.
 
Werbung:
Aber doch nicht wenn man das Popup selbst per Klick öffnet. Nicht jeder Besucher loggt sich ein, also wer es will klickt auf den Link und bekommt das Popup. Nachdem Login schließt sich das Popup und lädt die Hauptseite neu. So stell ich mir das vor...
 
Mit Popup meine ich nur beim Anklicken ein Javascript Popup zum Öffnen des neuen Fensters zu benutzen anstelle eines standard Links.
 
Wenn der Besucher seinem Browser sagt, dass dieser das zulassen soll, geht es. Allerdings ist das bei modernen Browsern bereits in der Grundeinstellung abgeschaltet.
 
Werbung:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben