<html>
<head>
<title>aaaa</title>
</head>
<body onLoad='httpsTest()'>
<script type='text/javascript'>
function httpsTest() {
TEST_IFRAME = document.getElementById('httpsTestFrame'); // test iframe
TEST_URL = 'https://www.domain.com:443/'; // test URL
TIME_OUT = 1000; // connection waiting in milliseconds
if(TEST_IFRAME != null) {
httpsTestConnect();
window.setTimeout('httpsTestCheck()', TIME_OUT);
}
}
function httpsTestConnect() {
TEST_IFRAME.src = TEST_URL;
}
function httpsTestCheck() {
alert(TEST_IFRAME.contentDocument.title);
}
</script>
<iframe id='httpsTestFrame' frameBorder=1 width=100 height=100/>
</body>
</html>
FF에서
에러: uncaught exception: HTMLDocument.title 1
이런 에러가 나네요.
구현하고자 하는 것은 특정 URL이 연결이 되는지 테스트해보는 것입니다.
위의 코드는 IFrame에 URL을 쏘고 1초 후에 Document를 검사하는 것인데
Document 접근이 안되네요.
iframe의 document title.
-
- 해커
- Posts: 691
- Joined: 2004 08 11 22:14 59
- Contact:
-
- 해커
- Posts: 724
- Joined: 2005 01 31 22:33 55
- Location: 대한민국
- Contact:
보안문제인것 같습니다.
아무래도 보안문제인것 같습니다.손님 wrote:TEST_URL = './test.html:443'; // test URLhyeonseok wrote:Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
위와 같이 바꾸어도 동일한 에러가 발생합니다..
제가 로컬에서 아파치 웹서버로 html 파일을 만들어 테스트해본 결과 문제가 없습니다.
같은 호스트상에서는 문제가 없어보이긴 한데 ./test.html:443가 안된다니 잘 모르겠습니다.
좀더 여러방면으로 테스트 해보시면 문제를 해결하실 수 있을 것이라 생각합니다.
구글검색을 통해 이 문제에 대한 비슷한 질문과 답변을 보았습니다.
http://archives.free.net.ph/message/200 ... 34.en.html
Re: 보안문제인것 같습니다.
박민권 wrote:아무래도 보안문제인것 같습니다.손님 wrote:TEST_URL = './test.html:443'; // test URLhyeonseok wrote:Cross Domain Script 아닌가요?
보안 문제 때문에 작동하지 않을 것입니다.
위와 같이 바꾸어도 동일한 에러가 발생합니다..
제가 로컬에서 아파치 웹서버로 html 파일을 만들어 테스트해본 결과 문제가 없습니다.
같은 호스트상에서는 문제가 없어보이긴 한데 ./test.html:443가 안된다니 잘 모르겠습니다.
좀더 여러방면으로 테스트 해보시면 문제를 해결하실 수 있을 것이라 생각합니다.
구글검색을 통해 이 문제에 대한 비슷한 질문과 답변을 보았습니다.
http://archives.free.net.ph/message/200 ... 34.en.html
포트도 넣고 테스트 하셨나요?
포트가 다르면 같은 에러가 발생하네요.
같은 URL이더라도 포트가 다르면 다른 서버로 간주하는가봅니다.
Re: 보안문제인것 같습니다.
아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.
새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.
새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
-
- 해커
- Posts: 724
- Joined: 2005 01 31 22:33 55
- Location: 대한민국
- Contact:
Re: 보안문제인것 같습니다.
글쎄요. ㅎㅎ손님 wrote:아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.
새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
해본적은 없습니다.
해보시고 결과 올려주세요. :)
Re: 보안문제인것 같습니다.
document.domain = 'domain.com' 이라고 선언하고 나면박민권 wrote:글쎄요. ㅎㅎ손님 wrote:아 포트를 잘못 썼네요...
test.html:443 이 아니라
http://www.domain.com:443/test.html 이군요.. -_- 삽질했습니다.
새로운 질문..
a.domain.com 의 document에서
b.domain.com 의 document를 참조할 수 있나요?
해본적은 없습니다.
해보시고 결과 올려주세요.
서브 도매인간의 document 컨트롤이 가능하네요.
근데 전 포트 테스트를 해보고 싶었는데
프로토콜이 달라지니 같은 도메인 내에서도 document 컨트롤이 안됩니다.
cross-domain scripting security 때문이라는군요..
-
- 해커
- Posts: 724
- Joined: 2005 01 31 22:33 55
- Location: 대한민국
- Contact:
Re: 보안문제인것 같습니다.
덕분에 Cross-Domain Security 에 대해서 알게 되었습니다.손님 wrote: document.domain = 'domain.com' 이라고 선언하고 나면
서브 도매인간의 document 컨트롤이 가능하네요.
근데 전 포트 테스트를 해보고 싶었는데
프로토콜이 달라지니 같은 도메인 내에서도 document 컨트롤이 안됩니다.
cross-domain scripting security 때문이라는군요..
구글검색을 통해 MS테크넷에서 이 부분에 대한 문제를 읽어봤습니다.
http://211.234.93.190/korea/technet/sec ... 02-009.asp
왜 이 부분이 보안에 문제가 될지를 곰곰히 생각해보았습니다.
해커의 입장에서 머리를 대굴대굴 굴린 결과 나름대로 악용할 방법이 생각났습니다. ㅡㅡ;
다른 도메인의 객체를 제어하게 될 경우 해커는 다른 도메인의 페이지를 프레임으로
띄워놓고 실수로 자신의 홈페이지를 통해 접근한 사용자가 정상적으로 뜨는 페이지를
보고 도메인이 잘못 되었음을 인식하지 못한체 개인 정보 입력시 스크립트를 이용하여
ID/PW를 가져올 수도 있겠다는 생각이 들었습니다.
평소 생각하지 못하는 부분도 악용하기 위해 잔머리를 굴리면 길이 열릴수도 있는 것 같습니다.
프로그래머는 기술의 활용도를 생각하지만 해커는 그 것을 이용해서 뚫어보려고
생각하기에 프로그래머는 미처 그 기술의 취약점을 발견하지 못하는 것 같습니다. :)
Who is online
Users browsing this forum: Bing [Bot] and 0 guests