JS-Wertübergabe an anderes Fenster (andere Subdomain) -> XSS

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • JS-Wertübergabe an anderes Fenster (andere Subdomain) -> XSS

    Hallo zusammen,

    da schreib ich doch jetzt mal mein Problem rein in der Hoffnung es geht doch irgendwie.
    Was ich möchte: Ich habe eine Suchmaske gebaut. Sucht Kunden, Adressen ach irgendwas. Jetzt möchte ich diese Suchmaske in verschiedenen anderen Webseiten benutzen. Das heißt: dort wo eine Adresse ordentlich erfasst werden soll, soll dieser Assistent als Popup geöffnet werden, ich suche meine Adresse oder was auch immer raus und am Ende übergebe ich das Ergebnis per Javascript an das Elternfenster (Opener). Wunderbare Idee, kann man im Intranet sehr gut gebrauchen. Hab den Code jetzt nicht da, aber so aus dem Kopf gehts so:

    Elternfenster:
    URL: myapp.mydomain.de

    diese enthält eine JS-Funktion wie:

    function myCallback(myval1, myval2){
    foo(bar)....
    }


    Der Aufruf des Assistenten:
    function openAssi(){
    window.open("http://myassi.mydomain.de/","Assi",.....Größe...usw);
    }


    In der AssiSeite erfolgt bei Click auf ein Button die Übergabe an das Elternfenster:
    funktion buttonClick(){

    //aufruf Callback des Openers
    window.opener.myCallback(wert1, wert2);
    window.close();
    }


    Also ich denke es ist deutlich gewurden auch wenn ich jetzt aus dem Kopf improvisieren musste. Mich interessiert eher der ANsatz. Also bisher habe ich dies so gelöst, dass ich den Assi immer als virt. Verzeichnis in die Website eingebunden habe. da war die domain dann kpl identisch. Der Nachteil, ich kann es nur mit anwendungen benutzen, die auf dem gleichen Webserver laufen. Oder ich müsste den Assi überall verteilen. Aber ich habe jetzt voller Elan einen eigenen DNS-Alias dafür erstellt und nun...Schöne Sch..... :-(

    Hat jemand eine Idee??

    Viele Grüße
    Headley

  • #2
    Zugriffe auf Fenster über Domaingrenzen hinweg kannst du vergessen, Stichwort Same Origin Policy.

    Lediglich über Subdomains hinweg wäre das überhaupt denkbar; dazu muss dann document.domain entsprechend gesetzt werden.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      bei mir handelt es sich ja um subdomains da alle bei uns im intranet laufen. ich google mal nach document.domain. wo muss das rein?

      Kommentar


      • #4
        Supi. Document.domain war DIE Lösung

        Kommentar

        Lädt...
        X