Pull to refresh

Comments 23

Спасибо автору за статью :)
ещё можно попробовать через «third party cookies»

в мозилле также работает передача через plain-text и xslt
Решил проверить насчет чужих кукисов.
Зашел в фаерфоксе на хабр, сбросил весь кэш. Просмотрщик кусисов сообщает, что были установлены куки с body.imho.ru (NGUserID), видимо через баннер.
Проверка javascript:alert(document.cookie) обнаружила только местные.
К каждому методу бы наглядную реализацию — было б супер!
Вообще было бы неплохо еще во вступлении написать что такое XSS. Ценность статьи бы резко повысилась.
Если не ошибаюсь, IE8 имеет реализацию XSS XHR.
>Создается тэг iframe, вешаются эвенты, изменяется src – все, поехал запрос.
>Данные приходят в тело документа iframe.
>Извлекаются данные из contentWindow.

Если src на другой домен, то js не достучится до содержимого contentWindow по политике безопастности.

>Через тэг script

>идет извлечение данных из его тела.

как? знаю способ только для оперы.

>Затем через DOM достаем все, что после about:blank.
А вот это очень интересно!
Спасибо за коменты. Уточнил статью на счет извлечение кода javascript.
Надо покопать исходники фаербага и узнать как достает то, что лежит в ифрэйме (его код — тот же javascript). Правда у него права могуть быть рутовые )
Расширения для FF имеют права сравнимые с правами самого FF.
Ну не то чтобы совсем рутовые, но всё же JS скрипты плагинов в FF имеют более высокие права, чем JS скрипты на сайтах.
ну, если в iframe скрипт запускает postMessage то почему бы и загружаемый через тег script код не выполнил бы вызов нужной ф-ции и не послал бы в нее данные. вполне удобный способ и везде работает.
может напишите продолжение, как от каждого метода защититься?
спасибо.
прошу прощения, не вник сразу в статью, перечитал, понял, ещё раз спасибо!
Спасибо за дополнение. Классифицировал этот метод, как «Через iframe».
Хорошо, когда статья дополняется другими.
К тому же еще и обещают поддержать в IE8, единственное что его реализации слегка рознятся в разных браузерах и их версиях, ибо используют разные версии черновика HTML5 спецификации.
Особо широко используются методы 2 и 7.

Использование скриптов называется JSONP и его давно предлагают в своих публичных API Google и Yahoo.

Для более безопасной поддержки последних запросов Клокфорд несколько лет назад предложил JSONRequest
не плохой материал, хотя и не ново…
кстати, не пойму, почему не используют более понятный термин CSS (Cross Site Scripting), чем непонятное обозначение XSS
Only those users with full accounts are able to leave comments. Log in, please.