O widget do Google +1 é JavaScript que é executado no seu site que está criando um iframe
. Este widget JavaScript está em execução no contexto do seu site e, portanto, não é restrito pelas Regras de Herança de Origem para iframes . Portanto, esse widget JavaScript pode definir os eventos DOM que desejar no site pai, mesmo que pareça simples iframe
.
Outra coisa, por que o Google está usando um iframe
? Por que não gerar apenas um div
na página? Bem, como o link se origina do iframe
, um token CSRF (falsificação de solicitação entre sites) pode ser incorporado na solicitação e o site pai não pode ler esse token e forjar a solicitação. Portanto, iframe
é uma medida anti-CSRF que se baseia nas regras de herança de origem para se proteger de um pai mal-intencionado.
Do ponto de vista do ataque, isso é mais parecido com o XSS (script entre sites) do que com a Redução de UI. Você está dando acesso ao Google ao seu site e eles podem seqüestrar os cookies de seus usuários ou funcionar XmlHttpRequests
contra o seu site, se assim o desejarem (mas as pessoas os processariam por serem maliciosos e ricos).
Nessa situação, você precisa confiar no Google, mas o Google não confia em você.
Existem maneiras de mitigar o impacto na privacidade desses bugs na web .
<iframe>
, o que você sugere pode ser verdadeiro (e explicar como é possível). Mas não parece ser esse o caso, de inspecionar o DOM. E exporia meu nome e endereço do Gmail a pais mal-intencionados (a menos que envoltos em um segundoiframe
)!