সিকিউরিটি এরির: ক্রস-অরিজিন ফ্রেমে অ্যাক্সেস করা থেকে উত্স সহ একটি ফ্রেম অবরুদ্ধ করেছে

আমি <iframe>আমার এইচটিএমএল পৃষ্ঠায় একটি লোড করছি এবং জাভাস্ক্রিপ্ট ব্যবহার করে এর মধ্যে থাকা উপাদানগুলিতে অ্যাক্সেস করার চেষ্টা করছি, কিন্তু যখন আমি আমার কোডটি কার্যকর করার চেষ্টা করি, তখন আমি নিম্নলিখিত ত্রুটিটি পাই:

SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame.

আপনি কি আমাকে দয়া করে কোনও সমাধান খুঁজে পেতে সহায়তা করতে পারেন যাতে আমি ফ্রেমের উপাদানগুলিতে অ্যাক্সেস করতে পারি?

আমি এই কোডটি পরীক্ষার জন্য ব্যবহার করছি তবে নিরর্থক:

$(document).ready(function() {
    var iframeWindow = document.getElementById("my-iframe-id").contentWindow;

    iframeWindow.addEventListener("load", function() {
        var doc = iframe.contentDocument || iframe.contentWindow.document;
        var target = doc.getElementById("my-target-id");

        target.innerHTML = "Found it!";
    });
});

একই উত্স নীতি

আপনি জাভাস্ক্রিপ্ট ব্যবহার করে ভিন্ন উত্স সহ কোনও অ্যাক্সেস করতে পারবেন না, আপনি যদি<iframe> এটি করতে পারেন তবে এটি একটি বিশাল সুরক্ষা ত্রুটি হবে। জন্য একই বংশোদ্ভূত নীতি ব্রাউজার স্ক্রিপ্ট একটি ভিন্ন উৎপত্তি সঙ্গে একটি ফ্রেম অ্যাক্সেস করার চেষ্টা ব্লক ।

ঠিকানার নীচের অংশগুলির মধ্যে কমপক্ষে একটি রক্ষণাবেক্ষণ না করা হলে উত্সটি আলাদা বিবেচনা করা হয়:

<protocol>://<hostname>:<port>/...

প্রোটোকল , হোস্টনাম এবং পোর্ট অবশ্যই আপনার ডোমেনের সমান হতে হবে, যদি আপনি কোনও ফ্রেমে অ্যাক্সেস করতে চান।

^{দ্রষ্টব্য: ইন্টারনেট এক্সপ্লোরার এই নিয়মটি কঠোরভাবে অনুসরণ না করার জন্য পরিচিত, বিশদগুলির জন্য এখানে দেখুন।}

উদাহরণ

নীচের ইউআরএলগুলি অ্যাক্সেস করার চেষ্টা করে কী হবে তা এখানে http://www.example.com/home/index.html

URL                                             RESULT 
http://www.example.com/home/other.html       -> Success 
http://www.example.com/dir/inner/another.php -> Success 
http://www.example.com:80                    -> Success (default port for HTTP) 
http://www.example.com:2251                  -> Failure: different port 
http://data.example.com/dir/other.html       -> Failure: different hostname 
https://www.example.com/home/index.html:80   -> Failure: different protocol
ftp://www.example.com:21                     -> Failure: different protocol & port 
https://google.com/search?q=james+bond       -> Failure: different protocol, port & hostname 

কার্যসংক্রান্ত

যদিও একই-উত্স নীতি স্ক্রিপ্টগুলিকে আলাদা উত্সযুক্ত সাইটগুলির সামগ্রী অ্যাক্সেস করা থেকে বিরত করে, যদি আপনি উভয় পৃষ্ঠার মালিক হন তবে আপনিwindow.postMessagemessage দুটি পৃষ্ঠার মধ্যে বার্তা প্রেরণের জন্য এই সমস্যাটি এবং এর সম্পর্কিত ঘটনাটি ব্যবহার করে এই জাতীয় সমস্যাটি ঘটাতে পারেন:

• আপনার প্রধান পৃষ্ঠায়:

  let frame = document.getElementById('your-frame-id');
  frame.contentWindow.postMessage(/*any variable or object here*/, 'http://your-second-site.com');

  দ্বিতীয় যুক্তি থেকে postMessage()হতে পারে '*'গন্তব্য উৎপত্তি সম্পর্কে কোন অগ্রাধিকার সূচিত করার জন্য। আপনার অন্য কোনও সাইটে প্রেরিত ডেটা প্রকাশ এড়ানোর জন্য, যখন সম্ভব হয় তখন একটি লক্ষ্য উত্স সর্বদা সরবরাহ করা উচিত।

• আপনার <iframe>(মূল পৃষ্ঠায় অন্তর্ভুক্ত):

  window.addEventListener('message', event => {
      // IMPORTANT: check the origin of the data! 
      if (event.origin.startsWith('http://your-first-site.com')) { 
          // The data was sent from your site.
          // Data sent with postMessage is stored in event.data:
          console.log(event.data); 
      } else {
          // The data was NOT sent from your site! 
          // Be careful! Do not use it. This else branch is
          // here just for clarity, you usually shouldn't need it.
          return; 
      } 
  }); 

এই পদ্ধতিটি উভয় দিকেই প্রয়োগ করা যেতে পারে , মূল পৃষ্ঠায় খুব বেশি শ্রোতা তৈরি করা এবং ফ্রেম থেকে প্রতিক্রিয়া পাওয়া। একই যুক্তিটি পপ-আপগুলিতে এবং মূলত যে কোনও নতুন উইন্ডো মূল পৃষ্ঠা (যেমন ব্যবহার করে window.open()) দ্বারা উত্পাদিত হয় , কোনও পার্থক্য ছাড়াই প্রয়োগ করা যেতে পারে ।

আপনার ব্রাউজারে সম-উত্স নীতিটি অক্ষম করা হচ্ছে

ইতিমধ্যে এই বিষয় সম্পর্কে কিছু ভাল উত্তর রয়েছে (আমি কেবল তাদের গুগল করে দেখলাম), সুতরাং, ব্রাউজারগুলির জন্য যেখানে এটি সম্ভব, আমি আপেক্ষিক উত্তরটি লিঙ্ক করব। তবে দয়া করে মনে রাখবেন যে সম-উত্স নীতিটি অক্ষম করা কেবলমাত্র আপনার ব্রাউজারকেই প্রভাবিত করবে । এছাড়াও, একই-উত্সের সুরক্ষা সেটিংস সহ একটি ব্রাউজার চালানো কোনও ওয়েবসাইটকে ক্রস-অরিজিন রিসোর্সে অ্যাক্সেসের মঞ্জুরি দেয়, সুতরাং এটি খুব অনিরাপদ এবং আপনি কী করছেন ঠিক না জানলে কখনও করা উচিত নয় (যেমন উন্নয়নের উদ্দেশ্য) ।

• গুগল ক্রম
• মোজিলা ফায়ারফক্স
• আফ্রিকায় শিকার অভিযান
• অপেরা
• মাইক্রোসফ্ট এজ: সম্ভব নয়
• মাইক্রোসফ্ট ইন্টারনেট এক্সপ্লোরার

মার্কো বোনেলির উত্তরটি পরিপূরক করা: ফ্রেম / ইফ্রেমেসের মধ্যে ইন্টারঅ্যাক্ট করার সেরা বর্তমান উপায়টি ব্যবহার করা হচ্ছে window.postMessage , সমস্ত ব্রাউজার দ্বারা সমর্থিত

এর জন্য http://www.<domain>.comকনফিগারেশনের জন্য ডোমেনের ওয়েব সার্ভারটি পরীক্ষা করুন X-Frame-Options এটি ক্লিক জ্যাকিং আক্রমণগুলি প্রতিরোধ করার জন্য ডিজাইন করা একটি সুরক্ষা বৈশিষ্ট্য,

ক্লিক জ্যাকিং কীভাবে কাজ করে?

1. দুষ্ট পৃষ্ঠাটি হ'ল ক্ষতিগ্রস্থ পৃষ্ঠার মতো দেখাচ্ছে।
2. তারপরে এটি ব্যবহারকারীদের তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রবেশের জন্য চালাকি করেছে।

প্রযুক্তিগতভাবে দুষ্টতার iframeশিকারের পৃষ্ঠার উত্স রয়েছে।

<html>
    <iframe src='victim_domain.com'/>
    <input id="username" type="text" style="display: none;/>
    <input id="password" type="text" style="display: none;/>
    <script>
        //some JS code that click jacking the user username and input from inside the iframe...
    <script/>
<html>

সুরক্ষা বৈশিষ্ট্যটি কীভাবে কাজ করে

আপনি যদি ওয়েব সার্ভারকে রোধ করতে চান iframeতবে একটি এক্স-ফ্রেম-বিকল্পগুলিতে যুক্ত করুন re

এক্স-ফ্রেম-বিকল্পগুলি DENY

বিকল্পগুলি হ'ল:

1. সমিরিগিন // কেবল আমার নিজের ডোমেনকে আমার এইচটিএমএল একটি আইফ্রেমে রেন্ডার করতে অনুমতি দেয়।
2. DENY // আমার এইচটিএমএলকে কোনও আইফ্রেমের অভ্যন্তরে রেন্ডার করার অনুমতি দেবেন না
3. "ALLOW-FROM https://example.com/ " // নির্দিষ্ট ডোমেনটিকে একটি আইফ্রেমের অভ্যন্তরে আমার এইচটিএমএল রেন্ডার করার অনুমতি দেয়

এটি আইআইএস কনফিগারেশন উদাহরণ:

   <httpProtocol>
       <customHeaders>
           <add name="X-Frame-Options" value="SAMEORIGIN" />
       </customHeaders>
   </httpProtocol>

প্রশ্নের সমাধান

যদি ওয়েব সার্ভারটি সুরক্ষা বৈশিষ্ট্য সক্রিয় করে থাকে তবে এটি ক্লায়েন্ট-সাইড সুরক্ষাআরারের কারণ হতে পারে।

আমার জন্য আমি একটি দ্বি-মুখী হ্যান্ডশেক বাস্তবায়িত করতে চেয়েছিলাম, যার অর্থ:
- প্যারেন্ট উইন্ডোটি দ্রুত লোড হবে তারপরে iframe
- আইফ্রেমে তার প্রস্তুত হওয়ার সাথে সাথে প্যারেন্ট উইন্ডোতে কথা বলা উচিত
- পিতা-মাতা iframe বার্তা এবং পুনরায় খেলতে প্রস্তুত

এই কোডটি [সিএসএস কাস্টম সম্পত্তি] ব্যবহার করে আইফ্রেমে সাদা লেবেল সেট করতে ব্যবহৃত হয়
কোড :
iframe

$(function() {
    window.onload = function() {
        // create listener
        function receiveMessage(e) {
            document.documentElement.style.setProperty('--header_bg', e.data.wl.header_bg);
            document.documentElement.style.setProperty('--header_text', e.data.wl.header_text);
            document.documentElement.style.setProperty('--button_bg', e.data.wl.button_bg);
            //alert(e.data.data.header_bg);
        }
        window.addEventListener('message', receiveMessage);
        // call parent
        parent.postMessage("GetWhiteLabel","*");
    }
});

মাতা

$(function() {
    // create listener
    var eventMethod = window.addEventListener ? "addEventListener" : "attachEvent";
    var eventer = window[eventMethod];
    var messageEvent = eventMethod == "attachEvent" ? "onmessage" : "message";
    eventer(messageEvent, function (e) {
        // replay to child (iframe) 
        document.getElementById('wrapper-iframe').contentWindow.postMessage(
            {
                event_id: 'white_label_message',
                wl: {
                    header_bg: $('#Header').css('background-color'),
                    header_text: $('#Header .HoverMenu a').css('color'),
                    button_bg: $('#Header .HoverMenu a').css('background-color')
                }
            },
            '*'
        );
    }, false);
});

স্বাভাবিকভাবেই আপনি উত্স এবং পাঠ্যকে সীমাবদ্ধ করতে পারেন,
এই পরীক্ষামূলকটিকে সহায়ক বলে মনে করে এই কোড-সহ কাজ করা সহজ [[ পোস্টমেসেজের সাথে
ক্রস-ডোমেন বার্তা]

আমি জাভা স্প্রিং সুনির্দিষ্ট কনফিগারেশন যুক্ত করতে চাই যা এতে প্রভাব ফেলতে পারে।

ওয়েব সাইট বা গেটওয়ে অ্যাপ্লিকেশনটিতে একটি বিষয়বস্তু সিকিউরিটিপুলি সেটিং রয়েছে

বসন্তে আপনি ওয়েবসিকিউরিটি কনফিগুরির অ্যাডাপ্টার সাব ক্লাসের বাস্তবায়ন পেতে পারেন

contentSecurityPolicy("
script-src 'self' [URLDomain]/scripts ; 
style-src 'self' [URLDomain]/styles;
frame-src 'self' [URLDomain]/frameUrl...

...

.referrerPolicy(ReferrerPolicyHeaderWriter.ReferrerPolicy.STRICT_ORIGIN_WHEN_CROSS_ORIGIN)

আপনি যদি এখানে নিরাপদ বাহ্যিক প্রতিযোগিতা সংজ্ঞায়িত না করেন তবে ব্রাউজারটি অবরুদ্ধ করা হবে।

যদি আপনার আইফ্রেমের সামগ্রীর উপর নিয়ন্ত্রণ থাকে - এটি যদি কেবল ক্রস-অরিজিন সেটআপ যেমন অ্যামাজন মেকানিকাল তুর্কে লোড করা হয় - তবে আপনি এই সমস্যাটি সমাধান করতে পারেন <body onload='my_func(my_arg)'> অভ্যন্তরীণ এইচটিএমএল বৈশিষ্ট্যের ।

উদাহরণস্বরূপ, অভ্যন্তরীণ এইচটিএমএল এর জন্য, thisএইচটিএমএল প্যারামিটার ব্যবহার করুন (হ্যাঁ - thisসংজ্ঞায়িত করা হয়েছে এবং এটি অভ্যন্তরীণ দেহের উপাদানগুলির প্যারেন্ট উইন্ডোকে বোঝায়):

<body onload='changeForm(this)'>

অভ্যন্তরীণ এইচটিএমএল এ:

    function changeForm(window) {
        console.log('inner window loaded: do whatever you want with the inner html');
        window.document.getElementById('mturk_form').style.display = 'none';
    </script>

• শুরু মেনু খুলুন
• উইন্ডোজ + আর টাইপ করুন বা "চালান" খুলুন
• নিম্নলিখিত কমান্ড কার্যকর করুন।

chrome.exe --user-data-dir="C://Chrome dev session" --disable-web-security