>frames['script_to_google']
>frames
>script
>frames
похоже все годы инфосека прошли впустую… я просто вытекаю из этого треда… пойду читать основы html…
у вас беспорядок в суждениях. скрипт это скрипт, в нем нет никаких объектов. крос домен тут вообще не причем, тк даже если вы будете грузите такой же скрипт со своего домена вы также не сможете прочитать хеш. крос домен распростроняется только на доступы между разными ориджинами и фреймами, и на скрос доменные запросы. на своей странице вы вольны выполнять скрипты с google.com
олрайт, если сотрудники и правда тут сидят почините хоть фреймбрейкер на whitelistовый
это когда по умолчанию страница скрыта display:none и только если все ок она показывается
вк щас не такой дырявый только из за кучи заплаток(они даже csrf токен иногда в гете передают лол). в тоже время сама архитектура чисто пхп-шная и кривая
>frames
>script
>frames
похоже все годы инфосека прошли впустую… я просто вытекаю из этого треда… пойду читать основы html…
и вообще тема стара как мир, уже года 4 как запретили переопределять Array конструктор.
это когда по умолчанию страница скрыта display:none и только если все ок она показывается
эта проблему еще год назад была известна см демо
homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html
у них есть фреймбрейкер, который нефига не решение проблемы
вк щас не такой дырявый только из за кучи заплаток(они даже csrf токен иногда в гете передают лол). в тоже время сама архитектура чисто пхп-шная и кривая
мы с ryan помирились — вторую уязвимость я уже по почте ему сообщил )