読者です 読者をやめる 読者になる 読者になる

view-sourceへのクリックジャッキングでCSRF対策回避(?

FirefoxのNightly(12.01a)では,iframeからview-sourceを参照出来る

view-sourceでもクッキーが付加され,ログイン状態のソースが表示される。
この時JavaScriptは実行されないため、クリックジャッキング対策に親フレームを確認していても意味が無い。(X-Frame-Optionsはちゃんと動作する...?)

そうして、iframe内をドラッグさせるなりコピペさせるなりして手前に持ってこさせれば中の情報が取得できそうな気がする...(Firefoxではiframeの中の文字列を反転・ドラッグで手前のフォームに持ってこれる)

例えば個人情報や、CSRFの対策として使用されるトークンを搾取されうる。

やらせるのは難しそうだけど...