【网络安全】PostMessage:分析JS实现XSS

最新推荐文章于 2024-09-11 07:57:51 发布
最新推荐文章于 2024-09-11 07:57:51 发布
阅读量1.1k 收藏 31
点赞数 26
分类专栏: 网络安全 文章标签: javascript web安全 xss
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/140499822
版权

未经许可,不得转载。

文章目录

前言

PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。

示例

在深入学习本文前,通过父子窗口间的消息传递示例代码+浏览器回显带领读者了解必要的知识。

1、send.html通过 postMessage 函数向receive.html发送消息:

<!--send.html-->
<!DOCTYPE html></
了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
JSpostMessage 用法(可以给iframe传值)
qq_45677671的博客
12-08 1万+
跨文档消息,有时候也简称为`XDM(cross-document messaging)`,是一种在不同执行上下文(如不同源的页面)间传递信息的能力。 例如:`www.wrox.com`上的页面想要与包含在内嵌窗格中的`p2p.wrox.com`上面的页面通信 `XMD`的核心就是`postMessage()`方法,将`message`传递给指定窗口
渗透测试-postmessage xss
cdyunaq的博客
04-02 5784
介绍 看国外好多这种漏洞,刚好挖掘某 SRC 的时候也发现了类似的点,所以觉得还是有必要记录一下 介绍 postMessage()方法用于安全实现跨源通信。 参考 1:https://www.runoob.com/js/met-win-postmessage.html 参考 2:https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage 语法 我感觉就是给数据发送到 window 中,就这么简单。 ..
JavaScript高级语法之跨域(postMessage,CORS,JSONP)
上善若泪
05-08 3396
目录 1 postMessage概述 1.1 iframe与主页面的通信 2 CORS 2.1 发送请求,“预检”机制 2.2 收到响应 3 JSONP 1 postMessage概述 所谓“同域限制”指的是,出于安全考虑,浏览器只允许脚本与同样协议、同样端口、同样域名的地址进行通信。比如,www1.example.com页面上面的脚本,只能与该域名(相同协议、相同端口)进行通信,...
js窗口间通信--postMessage
热门推荐
bob_baobao的博客
03-28 1万+
why我们知道:浏览器限制不同窗口之间的通信,除非同一个域名下的网页。为了解决这一问题,HTML5新出了一个API window.postMessage, 实现了不同域名的窗口通信。 whatMDN上webAPI语法: otherWindow.postMessage(message, targetOrigin);otherWindow: 其他窗口的一个引用,比如iframe的conten
JavaScript postMessage跨域通信
lumot的博客
09-18 733
这玩意儿很早以前就有了,只是一直没流行起来。但是现在差不多可以用用了,下面这个是国内最新的浏览器市场份额数据   可见IE8的普及程度已经很高了,所以不做IE7-的网站也渐渐多起来,是时候使用这些东...
iframe 父子传值
鱼塘虾本虾的博客
08-26 383
子页面 window.onload = function(){ window.parent.postMessage("getcolor","*"); window.addEventListener("message", function(e){ var agentid=JSON.parse(e.data).agentid; var mediaA
网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)_dvwa xss注入
2401_84300255的博客
04-27 781
正常可以看到是Get型。
网络安全】URL解析器混淆绕过CSP实现XSS
等风来
09-09 462
许多流行的静态网站生成器都存在图像 CDN 功能,它们通过优化网站中的图像来加快页面加载速度。例如:1、利用内置的next/image组件优化图像(nextjs.org)2、Nuxt Image: Nuxt 应用的图像优化即插即用的图像优化功能,使用内置优化器对图像进行调整(image.nuxt.com)这些工具的目标都是通过将图像对应的 URL 作为输入(通常通过参数或路径),优化图像以减少加载时间。url=url=
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件
代码讲故事
03-08 343
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件。 DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS
js中窗口的postMessage方法1
08-08
js中窗口的postMessage方法1
crosstalk.js:使用 postMessage 随时随地与任何内容交谈
06-04
串扰.js crosstalk.js 是一个很小的(2kb 缩小)库,它使跨域甚至跨协议通信变得非常干净和容易。 为什么要使用它? 也许您分发了一个将在本地打开的 HTML 文件(使用 file:// 协议),但它需要与 API 服务器通信(使用 http:// 或 https:// 协议)。 串扰可让您从任何地方加载帧并轻松通过它进行通信。 这种需求并不经常出现,但一旦出现,这将使您的生活变得非常轻松。 使用串扰 使用 crosstalk.js 非常简单。 您只需要在要与之通信的每个页面中包含该库。 在您的主窗口中,执行以下操作: var channel = new Crosstalk({ // Optional; defaults to '*' origin: 'http://mysite.com', // Required source: '
网络攻防技术——XSS实验
学习记录
02-27 3412
一、题目 跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。 为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论
postmessage xss利用
2401_84466336的博客
05-27 846
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。假如我们可控origin,后面也会调用jquery中对象的text()方法,这个方法是自带有实体化编码的,所以就算绕过了也利用不了。刚才我们的举例,其实是相当于伪造了发送端,然后目标为接收端,接收端对数据没有正确处理,从而导致了XSS漏洞。前面说了,出现XSS,是因为window对发送的数据处理不当造成的,咱们分析一下这里的接收数据页面。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料。
postMessage引发XSS
weixin_52501704的博客
05-27 1439
这次的主题是postMessage未验证消息来源origin,导致恶意代码注入的dom-xss,由于很少人关注这类型的注入,因为挖掘难度中等,需要一定的javascript代码审计能力,且漏洞危害等级不高,导致国内许多SRC都存在跨域消息传输xss注入漏洞。漏洞防护也比较简单,一般都是验证消息来源的origin,比如a.com的源码中只接收b.com的消息,不是b.com发来的消息不进行任何处理。但是请记住一点,插件只是辅助,并不能直接找到漏洞,漏洞的挖掘还是得需要去审计javascript代码。
javascriptpostmessage
weixin_30713953的博客
10-12 136
摘要 postmessage 作为 html5 跨域传值的解决方法,灰常好用啊。。本次用的是页面a 用iframe 嵌入 页面b。 使用方法 postmessage 参数 otherWindow.postMessage(message, targetOrigin, [transfer]); message 为 待传递的信息,字符串 targetOrigin 为可接收此信息的页面范围, 一般为域名 ...
postMessage实现JsJavascript跨域通信
How_about_yes
12-08 1672
一、概要介绍 1、什么是跨域? 跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。跨域的严格的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域。2、跨域通信的解决方法: (1)通过jsonp实现跨域...
js中【postMessage】八大点解读+完整示例
最新发布
2301_79858914的博客
09-11 877
是一个强大而灵活的 API,能够实现不同窗口、iframe、Web Worker 以及其他上下文之间的安全通信。虽然它简化了跨域通信的实现,但也带来了潜在的安全风险。使用时,必须注意确保消息的发送和接收过程都是可信的,尤其是要谨慎指定和验证消息来源的origin属性。
网络安全基础:SQL注入、XSS攻击与防御策略
"网络安全相关的29个问题涵盖了各种网络攻击方式、协议原理、网络安全机制以及数据传输的安全性。这些问题旨在帮助理解网络安全中的关键概念和技术,包括SQL注入、XSS攻击的分类及其防御措施、CSRF攻击的工作原理、...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值