iframe의 document title.

국내에 웹 사이트들이 웹 표준을 지키고 OS나 브라우저와 관계 없이 접근성을 향상 시키기 위한 사이트 버그 신고 및 문제 해결을 위한 게시판입니다.
Post Reply
손님

iframe의 document title.

Post by 손님 »

<html>
<head>
<title>aaaa</title>
</head>
<body onLoad='httpsTest()'>

<script type='text/javascript'>
function httpsTest() {
TEST_IFRAME = document.getElementById('httpsTestFrame'); // test iframe
TEST_URL = 'https://www.domain.com:443/'; // test URL
TIME_OUT = 1000; // connection waiting in milliseconds

if(TEST_IFRAME != null) {
httpsTestConnect();
window.setTimeout('httpsTestCheck()', TIME_OUT);
}
}
function httpsTestConnect() {
TEST_IFRAME.src = TEST_URL;
}
function httpsTestCheck() {
alert(TEST_IFRAME.contentDocument.title);
}
</script>

<iframe id='httpsTestFrame' frameBorder=1 width=100 height=100/>

</body>
</html>


FF에서
에러: uncaught exception: HTMLDocument.title &#141;1
이런 에러가 나네요.

구현하고자 하는 것은 특정 URL이 연결이 되는지 테스트해보는 것입니다.
위의 코드는 IFrame에 URL을 쏘고 1초 후에 Document를 검사하는 것인데
Document 접근이 안되네요.
hyeonseok
해커
해커
Posts: 691
Joined: 2004 08 11 22:14 59
Contact:

Post by hyeonseok »

Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
손님

Post by 손님 »

hyeonseok wrote:Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
TEST_URL = './test.html:443'; // test URL

위와 같이 바꾸어도 동일한 에러가 발생합니다..
박민권
해커
해커
Posts: 724
Joined: 2005 01 31 22:33 55
Location: 대한민국
Contact:

보안문제인것 같습니다.

Post by 박민권 »

손님 wrote:
hyeonseok wrote:Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
TEST_URL = './test.html:443'; // test URL

위와 같이 바꾸어도 동일한 에러가 발생합니다..
아무래도 보안문제인것 같습니다.
제가 로컬에서 아파치 웹서버로 html 파일을 만들어 테스트해본 결과 문제가 없습니다.

같은 호스트상에서는 문제가 없어보이긴 한데 ./test.html:443가 안된다니 잘 모르겠습니다.

좀더 여러방면으로 테스트 해보시면 문제를 해결하실 수 있을 것이라 생각합니다.

구글검색을 통해 이 문제에 대한 비슷한 질문과 답변을 보았습니다.
http://archives.free.net.ph/message/200 ... 34.en.html
손님

Re: 보안문제인것 같습니다.

Post by 손님 »

박민권 wrote:
손님 wrote:
hyeonseok wrote:Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
TEST_URL = './test.html:443'; // test URL

위와 같이 바꾸어도 동일한 에러가 발생합니다..
아무래도 보안문제인것 같습니다.
제가 로컬에서 아파치 웹서버로 html 파일을 만들어 테스트해본 결과 문제가 없습니다.

같은 호스트상에서는 문제가 없어보이긴 한데 ./test.html:443가 안된다니 잘 모르겠습니다.

좀더 여러방면으로 테스트 해보시면 문제를 해결하실 수 있을 것이라 생각합니다.

구글검색을 통해 이 문제에 대한 비슷한 질문과 답변을 보았습니다.
http://archives.free.net.ph/message/200 ... 34.en.html

포트도 넣고 테스트 하셨나요?
포트가 다르면 같은 에러가 발생하네요.
같은 URL이더라도 포트가 다르면 다른 서버로 간주하는가봅니다.
손님

Re: 보안문제인것 같습니다.

Post by 손님 »

아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.

새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
박민권
해커
해커
Posts: 724
Joined: 2005 01 31 22:33 55
Location: 대한민국
Contact:

Re: 보안문제인것 같습니다.

Post by 박민권 »

손님 wrote:아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.

새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
글쎄요. ㅎㅎ
해본적은 없습니다.
해보시고 결과 올려주세요. :)
손님

Re: 보안문제인것 같습니다.

Post by 손님 »

박민권 wrote:
손님 wrote:아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.

새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
글쎄요. ㅎㅎ
해본적은 없습니다.
해보시고 결과 올려주세요. :)
document.domain = 'domain.com' 이라고 선언하고 나면
서브 도매인간의 document 컨트롤이 가능하네요.
근데 전 포트 테스트를 해보고 싶었는데
프로토콜이 달라지니 같은 도메인 내에서도 document 컨트롤이 안됩니다.
cross-domain scripting security 때문이라는군요..
박민권
해커
해커
Posts: 724
Joined: 2005 01 31 22:33 55
Location: 대한민국
Contact:

Re: 보안문제인것 같습니다.

Post by 박민권 »

손님 wrote: document.domain = 'domain.com' 이라고 선언하고 나면
서브 도매인간의 document 컨트롤이 가능하네요.
근데 전 포트 테스트를 해보고 싶었는데
프로토콜이 달라지니 같은 도메인 내에서도 document 컨트롤이 안됩니다.
cross-domain scripting security 때문이라는군요..
덕분에 Cross-Domain Security 에 대해서 알게 되었습니다.

구글검색을 통해 MS테크넷에서 이 부분에 대한 문제를 읽어봤습니다.
http://211.234.93.190/korea/technet/sec ... 02-009.asp

왜 이 부분이 보안에 문제가 될지를 곰곰히 생각해보았습니다.

해커의 입장에서 머리를 대굴대굴 굴린 결과 나름대로 악용할 방법이 생각났습니다. ㅡㅡ;

다른 도메인의 객체를 제어하게 될 경우 해커는 다른 도메인의 페이지를 프레임으로
띄워놓고 실수로 자신의 홈페이지를 통해 접근한 사용자가 정상적으로 뜨는 페이지를
보고 도메인이 잘못 되었음을 인식하지 못한체 개인 정보 입력시 스크립트를 이용하여
ID/PW를 가져올 수도 있겠다는 생각이 들었습니다.

평소 생각하지 못하는 부분도 악용하기 위해 잔머리를 굴리면 길이 열릴수도 있는 것 같습니다.
프로그래머는 기술의 활용도를 생각하지만 해커는 그 것을 이용해서 뚫어보려고
생각하기에 프로그래머는 미처 그 기술의 취약점을 발견하지 못하는 것 같습니다. :)
Post Reply

Who is online

Users browsing this forum: Bing [Bot] and 0 guests