突破IE安全限制获取iframe子框架内的本地cookie

今天这篇主要是要讲以下这么几件事情：
1. iframe的限制
2. 突破iframe获取本地cookie的思路
3. 利用Cross Iframe Trick突破iframe安全限制

我的测试环境是： IE 7 (7.0.5730.13)

以下所有的内容全部经过我在IE7中测试，是真实有效的结果。

Iframe的限制:
因为iframe这个玩意比较特殊，所以浏览器对它一般都有一些限制。

首先父窗口不能控制子窗口的js，只能读取一些对象；子窗口也不能使用父窗口的js，也只能读部分对象，更多的比如document啥的都限制了。

关系如下：

- iframe's should not be able to view content/cookies from another domain
- iframe children CAN view certain properties and execute certain behaviors
 - parent.window.blur
 - parent.window.opener
 - parent.window.length
 - others

- iframe children CAN redirect the parent frame to a new location (great for phishing)
        - parent.location.href
        - parent.window.location

对于有些利用子窗口执行父窗口js的方法是限制的
比如，在子窗口里可以这么使用：
parent.location.href="http://www.sohu.com";

上面的语句将把父窗口重新定义到sohu的网站去.

但是如果想执行js，或者是读取document对象，则会被拒绝访问
parent.location.href=new String("javascript:alert(document.cookie)");
parent.location.href=new String("javascript:alert(1)");

像这两条都会被拒绝。

对于iframe，Firefox3 居然是不限制本地cookie发送的！也就是说，在Firefox环境里，使用iframe包含一个远程页面，是会将保存在本地的cookie发送出去的，这使得CSRF会非常之方便。

但是IE不同，对于IE环境中，img和iframe标签都只能发送session cookie，无法发送本地cookie，所以很多时候CSRF会失败，这也会给XSS带来很大的麻烦，比如会使得XSRF更困难一些。

鉴于Firefox一点挑战都没有，所以今天主要研究的对象是IE。

在IE环境下，程序员们一般都是使用P3P协议来获取跨域cookie的，但是P3P也要求我们改写HTTP头，更麻烦，在这里，我纯粹使用一些脚本的技巧来突破这些限制。

[1] [2] [3] 下一页