Block javascript in iframe

Общение между окнами и фреймами

Материал на этой странице устарел, поэтому скрыт из оглавления сайта.

Более новая информация по этой теме находится на странице https://learn.javascript.ru/cross-window-communication.

Элемент iframe является обычным узлом DOM, как и любой другой. Существенное отличие – в том, что с ним связан объект window внутреннего окна. Он доступен по ссылке iframe.contentWindow .

Таким образом, iframe.contentWindow.document будет внутренним документом, iframe.contentWindow.document.body – его и так далее.

В старых браузерах использовались другие свойства, такие как iframe.contentDocument и даже iframe.document , но они давно не нужны.

Переход внутрь ифрейма

В примере ниже JavaScript получает документ внутри ифрейма и модифицирует его:

  var iframe = document.getElementsByTagName('iframe')[0]; var iframeDoc = iframe.contentWindow.document; if (iframeDoc.readyState == 'complete') < iframeDoc.body.style.backgroundColor = 'green'; >iframe.onload = function() 

Атрибут src может использовать протокол javascript , как указано выше: src=»javascript:код» . При этом код выполняется и его результат будет содержимым ифрейма. Этот способ описан в стандарте и поддерживается всеми браузерами.

Атрибут src является обязательным, и его отсутствие может привести к проблемам, вплоть до игнорирования ифрейма браузером. Чтобы ничего не загружать в ифрейм, можно указать пустую строку: src=»javascript:»» или специальную страницу: src=»about:blank» .

В некоторых браузерах (Chrome) пример выше покажет iframe зелёным. А в некоторых (Firefox) – оранжевым.

Дело в том, что, когда iframe только создан, документ в нём обычно ещё не загружен.

При обычных значениях iframe src=»https://learn.javascript.ru/» , которые указывают на HTML-страницу (даже если она уже в кеше), это всегда так. Документ, который в iframe на момент срабатывания скрипта iframeDoc – временный, он будет заменён на новый очень скоро. И работать надо уже с новым документом iframeDoc2 – например, по событию iframe.onload .

В случае с javascript -протоколом, по идее, ифрейм уже загружен, и тогда onload у него уже не будет. Но здесь мнения браузеров расходятся, некоторые (Firefox) всё равно «подгрузят» документ позже. Поэтому факт «готовности» документа в скрипте проверяется через iframeDoc.readyState .

Ещё раз заметим, что при обычных URL в качестве src нужно работать не с начальным документом, а с тем, который появится позже.

Кросс-доменность: ограничение доступа к окну

Элемент является «двуличным». С одной стороны, это обычный узел DOM, с другой – внутри находится окно, которое может иметь совершенно другой URL, содержать независимый документ из другого источника.

Внешний документ имеет полный доступ к как к DOM-узлу. А вот к окну – если они с одного источника.

Это приводит к забавным последствиям. Например, чтобы узнать об окончании загрузки , мы можем повесить обработчик iframe.onload . По сути, это то же самое что iframe.contentWindow.onload , но его мы можем поставить лишь в случае, если окно с того же источника.

Если бы в примере выше был с текущего сайта, то оба обработчика сработали бы.

Иерархия window.frames

Альтернативный способ доступа к окну ифрейма – это получить его из коллекции window.frames .

Обратим внимание: в коллекции хранится именно окно ( contentWindow ), а не DOM-элемент.

Демонстрация всех способов доступа к окну:

Внутри ифрейма могут быть свои вложенные ифреймы. Всё это вместе образует иерархию.

Ссылки для навигации по ней:

• window.frames – коллекция «детей» (вложенных ифреймов)
• window.parent – содержит ссылку на родительское окно, позволяет обратиться к нему из ифрейма. Всегда верно:

// (из окна со фреймом) window.frames[0].parent === window; // true

window.frames[0].frames[0].frames[0].top === window

Свойство top позволяет легко проверить, во фрейме ли находится текущий документ:

Песочница sandbox

Атрибут sandbox позволяет построить «песочницу» вокруг ифрейма, запретив ему выполнять ряд действий.

• Заставляет браузер считать ифрейм загруженным с другого источника, так что он и внешнее окно больше не могут обращаться к переменным друг друга.
• Отключает формы и скрипты в ифрейме.
• Запрещает менять parent.location из ифрейма.

Пример ниже загружает в документ с JavaScript и формой. Ни то ни другое не сработает:

Источник

Secure Privacy

To block cookies and trackers, you need to change the attributes of the script tags on your website. Follow these steps to change the attributes.

1. Apply the attribute sp-consent=»PLUGIN NAME» to the script/image tags on your website. Depending on where you have installed the plugins, this may be inside a module, plugin or directly on your website. Make sure you write the exact plugin name, which appears on your Scan Report.
2. On script tags change the attribute ‘type’ from ‘text/javascript’ to ‘text/plain’.
3. If you are using a pixel tracker (image trackers), then rename the “src” attribute to “data-src”.

Here is an example of how it would look after you have changed a Google Analytics script.

Normal script tags look like this:

Using script type re-writing, you need to change the scripts to:

iFrame blocking setup

This article covers the scenario when the iframes, embedded on your website, set cookies and trackers and thereby require the visitor’s prior consent.

These are generally third party content providers like YouTube and Vimeo. To hold back cookies until the website visitor has consented, Secure Privacy will block loading the video until the visitor has provided consent.

We will take an example of YouTube to implement prior consent. You can follow these simple steps to implement prior consent.

• Apply the attribute sp-consent=»PLUGIN NAME» to the iframe tag on your website. Make sure that you write the exact plugin name, which appears on your Scan Report.
• Change the attribute “src”: from “src” to “data-src” .

changes to the following (rename ‘src’ to ‘data-src’ and apply the sp-consent=»PLUGIN NAME» attribute to the tag):

Here the PLUGIN NAME is Youtube. This can be found in your scan report.

Note 1: YouTube offers you to serve videos from the alternative domain www.youtube-nocookie.com which is not setting HTTP cookies. Instead, the alternative domain is setting persistent «super cookies» in the browser’s HTML localStorage, which also requires consent.

Note 2: You need to use manual blocking for iframes even If you are using auto-blocking. Currently, auto-blocking will only work for iframes created dynamically on the page, such as advertising iframes that are injected by a JavaScript file. For iframes embedded directly on-page, for example, some YouTube videos, we recommend following the manual steps.

Did you find it helpful? Yes No

Источник

How to Block Iframes, JavaScript & Redirections

Some websites have code to “break out” of IFRAME enclosures, meaning that if a page A is loaded as an IFRAME inside a parent page P some Javascript in A redirects the outer window to A .

Typically this Javascript looks something like this:

 if (top.location.href != self.location.href) top.location.href = self.location.href; 

So how do we bypass it? Well that’s easy, there exist bunch of ‘helper’ utilities aka extensions for the Browser, in my list I list Firefox/Chrome addons which are worth to mention. Most of them working around the sandbox attribute.

But why is iFrame blocked by default?

Because it breaks too much stuff, while disabling scripts and blocking objects, combined with the anti-XSS protection (like within NoScript or ScriptSafe), actually prevents most of the IFRAME-based attacks you could imagine.

Extensions

How Do I Stop Links From Redirecting Me to Different Sites?

Some browser redirects are harmless. Some are incredibly malicious. Protect yourself from phishing attempts and unwanted software downloads by preventing your browser from being redirected to a different site. Extensions like Undirect may help here but there also ways to prevent this directly with the Browser given settings. To prevent Chrome from being redirected to another site without your knowledge, click the “Customize and Control Google Chrome” button. The button has three horizontal lines on it. Click “Settings.” Click the “Show Advanced Settings” link to display more setting options. In the Privacy section, click “Enable Phishing and Malware Protection.” Close the browser window. Google now displays a warning if the browser is trying to redirect you. In Firefox, click the “Open Menu” button, which has three horizontal lines. Click the “Options” button in the panel that opens. Click the “Advanced” button and then the “General” tab. In the Accessibility section, check the “Warn Me When Websites Try to Redirect or Reload the Page” box. Click “OK.”

What about JavaScript?

JavaScript is important and it might break a lot of pages when you disable it completely. So work with exceptions and allow it to your needs on a per-domain basis. There also ways to work with multiple browser profiles and then you could surf with or without it, which would be depending on the profile. NoScript or uMatrix works best here and there more or less easy to understand and to use.

Since this topic is very huge I will try to here and then write about the specific mechanism, extensions and how to prevent certain things.

• Play safely in sandboxed IFrames (html5rocks.com)
• URL Redirect: Breaking Out of an iFrame (help.surveygizmo.com)
• Unwanted redirect from iframe (aufart.net)
• Same-origin policy (developer.mozilla.org)
• Headers to block iframe loading (sjoerdlangkemper.nl)
• Upcoming Google Chrome security features will prevent malicious auto-redirects (9to5google.com)

Источник