Web message manipulation

Что такое манипуляции веб‑сообщениями?

Уязвимости веб‑сообщений возникают, когда скрипт отправляет контролируемые атакующим данные в виде веб‑сообщения другому документу в браузере. Атакующий может использовать данные веб‑сообщения как источник, создав веб‑страницу, которая при посещении заставит браузер пользователя отправить веб‑сообщение, содержащее контролируемые атакующим данные. Дополнительную информацию об использовании веб‑сообщений в качестве источника см. на странице Web messages.

Какие приёмники могут привести к уязвимостям манипуляции веб‑сообщениями?

Метод postMessage() для отправки веб‑сообщений может приводить к уязвимостям, если обработчик события для приёма сообщений небезопасно обрабатывает входящие данные.

Как предотвратить манипуляции веб‑сообщениями на основе DOM

В дополнение к общим мерам, описанным на странице DOM-based, следует избегать отправки веб‑сообщений, содержащих данные, поступившие из какого‑либо ненадежного источника. При отправке междоменных сообщений всегда явно указывайте целевое окно. И самое важное — обязательно реализуйте надёжные меры по проверке источника любых входящих сообщений.