偵測到 PostMessage 萬用字元目標來源
info Web App Scanning Plugin ID 113837
語系:
概要
偵測到 PostMessage 萬用字元目標來源說明
依賴 JavaScript 的 Web 應用程式通常需要在「Window」物件 (例如頁面) 和內嵌的 iframe 或快顯視窗之間執行跨來源通訊。postMessage API 允許開發人員規避同源原則限制,以便在位於不同來源的指令碼之間交換資料。視應用程式的需求而定,訊息可傳送至萬用字元來源「*」,允許任何其他物件讀取該訊息。不過,如果透過 postMessage() 傳送的資料並非既定公開的資料,則攻擊者可利用此問題,從目標 Web 應用程式擷取敏感資料。
解決方案
請確認透過 postMessage() API 傳送的訊息需要被任何第三方讀取,否則,您應指定應接收訊息的目標來源。另請參閱
https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
Plugin 詳細資訊
嚴重性: Info
ID: 113837
類型: remote
系列: Web Applications
已發布: 2023/5/5
已更新: 2023/5/5
掃描範本: basic, full, pci, scan