偵測到 PostMessage 萬用字元目標來源

info Web App Scanning Plugin ID 113837

概要

偵測到 PostMessage 萬用字元目標來源

說明

依賴 JavaScript 的 Web 應用程式通常需要在「Window」物件 (例如頁面) 和內嵌的 iframe 或快顯視窗之間執行跨來源通訊。postMessage API 允許開發人員規避同源原則限制,以便在位於不同來源的指令碼之間交換資料。
視應用程式的需求而定,訊息可傳送至萬用字元來源「*」,允許任何其他物件讀取該訊息。不過,如果透過 postMessage() 傳送的資料並非既定公開的資料,則攻擊者可利用此問題,從目標 Web 應用程式擷取敏感資料。

解決方案

請確認透過 postMessage() API 傳送的訊息需要被任何第三方讀取,否則,您應指定應接收訊息的目標來源。

另請參閱

https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/

https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage

Plugin 詳細資訊

嚴重性: Info

ID: 113837

類型: remote

已發布: 2023/5/5

已更新: 2023/5/5

掃描範本: basic, full, pci, scan