检测到 PostMessage 通配符目标源
info Web App Scanning 插件 ID 113837
语言:
简介
检测到 PostMessage 通配符目标源描述
依赖于 JavaScript 的 Web 应用程序通常需要在 `Window` 对象(例如页面和嵌入式 iframe 或弹出窗口)之间执行跨源通信。postMessage API 允许开发人员避开同源策略限制,以便在位于不同源的脚本之间交换数据。根据应用程序的需要,消息可被发送到通配符来源 `*`,允许任何其他对象读取。但是,如果无意公开通过 postMessage() 发送的数据,攻击者可利用此问题从目标 Web 应用程序捕获敏感数据。
解决方案
确保通过 postMessage() API 发送的消息可由任何第三方读取。否则,您应指定应接收消息的目标来源。另见
https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
插件详情
严重性: Info
ID: 113837
类型: remote
系列: Web Applications
发布时间: 2023/5/5
最近更新时间: 2023/5/5
扫描模板: basic, full, pci, scan