Google +1 विजेट जावास्क्रिप्ट है जो आपकी वेबसाइट पर चलता है जो एक निर्माण कर रहा है iframe
। यह जावास्क्रिप्ट विजेट आपकी वेबसाइट के संदर्भ में चल रहा है और इसलिए आइफ्रेम के लिए उत्पत्ति वंशानुक्रम नियमों से बाध्य नहीं है । इसलिए यह जावास्क्रिप्ट विजेट मूल साइट पर जो भी DOM ईवेंट चाहता है, उसे सेट कर सकता है, भले ही यह केवल एक साधारण प्रतीत हो iframe
।
एक और बात, Google एक का उपयोग क्यों कर रहा है iframe
? div
पेज पर सिर्फ जनरेट क्यों नहीं किया गया? ठीक है क्योंकि लिंक से उत्पन्न होता है iframe
, एक CSRF (क्रॉस-साइट अनुरोध जालसाजी) टोकन अनुरोध में एम्बेड किया जा सकता है और मूल साइट इस टोकन को नहीं पढ़ सकती है और अनुरोध को फोर्ज कर सकती है। तो iframe
एक CSRF विरोधी उपाय है जो मूल दुर्भावनापूर्ण माता-पिता से खुद को बचाने के लिए उत्पत्ति वंशानुक्रम नियमों पर निर्भर करता है।
हमले के दृष्टिकोण से यह UI-रेड्रेस की तुलना में XSS (क्रॉस-साइट स्क्रिप्टिंग) की तरह है। आप Google को अपनी वेबसाइट पर एक्सेस दे रहे हैं और वे आपके उपयोगकर्ताओं की कुकी को हाईजैक कर सकते हैं या XmlHttpRequests
आपकी वेबसाइट के खिलाफ प्रदर्शन कर सकते हैं यदि वे ऐसा चुनते हैं (लेकिन तब लोग उन्हें दुर्भावनापूर्ण और अमीर होने के लिए मुकदमा करेंगे)।
इस स्थिति में आपको Google पर भरोसा करना होगा, लेकिन Google आप पर भरोसा नहीं करता है।
इन वेब-बगों की गोपनीयता प्रभाव को कम करने के तरीके हैं ।
<iframe>
, जो आप सुझाव देते हैं कि यह सच हो सकता है (और बताएं कि यह कैसे संभव है)। लेकिन ऐसा नहीं लगता है कि डोम का निरीक्षण करने से, यह मामला है। और यह दुर्भावनापूर्ण माता-पिता के लिए मेरा नाम और जीमेल पता उजागर करेगा (जब तक कि एक दूसरे में लपेटा न जाएiframe
)!