Tweet
JS-Wertübergabe an anderes Fenster (andere Subdomain) -> XSS
Hallo zusammen,
da schreib ich doch jetzt mal mein Problem rein in der Hoffnung es geht doch irgendwie.
Was ich möchte: Ich habe eine Suchmaske gebaut. Sucht Kunden, Adressen ach irgendwas. Jetzt möchte ich diese Suchmaske in verschiedenen anderen Webseiten benutzen. Das heißt: dort wo eine Adresse ordentlich erfasst werden soll, soll dieser Assistent als Popup geöffnet werden, ich suche meine Adresse oder was auch immer raus und am Ende übergebe ich das Ergebnis per Javascript an das Elternfenster (Opener). Wunderbare Idee, kann man im Intranet sehr gut gebrauchen. Hab den Code jetzt nicht da, aber so aus dem Kopf gehts so:
Elternfenster:
URL: myapp.mydomain.de
diese enthält eine JS-Funktion wie:
function myCallback(myval1, myval2){
foo(bar)....
}
Der Aufruf des Assistenten:
function openAssi(){
window.open("http://myassi.mydomain.de/","Assi",.....Größe...usw);
}
In der AssiSeite erfolgt bei Click auf ein Button die Übergabe an das Elternfenster:
funktion buttonClick(){
//aufruf Callback des Openers
window.opener.myCallback(wert1, wert2);
window.close();
}
Also ich denke es ist deutlich gewurden auch wenn ich jetzt aus dem Kopf improvisieren musste. Mich interessiert eher der ANsatz. Also bisher habe ich dies so gelöst, dass ich den Assi immer als virt. Verzeichnis in die Website eingebunden habe. da war die domain dann kpl identisch. Der Nachteil, ich kann es nur mit anwendungen benutzen, die auf dem gleichen Webserver laufen. Oder ich müsste den Assi überall verteilen. Aber ich habe jetzt voller Elan einen eigenen DNS-Alias dafür erstellt und nun...Schöne Sch..... :-(
Hat jemand eine Idee??
Viele Grüße
Headley
da schreib ich doch jetzt mal mein Problem rein in der Hoffnung es geht doch irgendwie.
Was ich möchte: Ich habe eine Suchmaske gebaut. Sucht Kunden, Adressen ach irgendwas. Jetzt möchte ich diese Suchmaske in verschiedenen anderen Webseiten benutzen. Das heißt: dort wo eine Adresse ordentlich erfasst werden soll, soll dieser Assistent als Popup geöffnet werden, ich suche meine Adresse oder was auch immer raus und am Ende übergebe ich das Ergebnis per Javascript an das Elternfenster (Opener). Wunderbare Idee, kann man im Intranet sehr gut gebrauchen. Hab den Code jetzt nicht da, aber so aus dem Kopf gehts so:
Elternfenster:
URL: myapp.mydomain.de
diese enthält eine JS-Funktion wie:
function myCallback(myval1, myval2){
foo(bar)....
}
Der Aufruf des Assistenten:
function openAssi(){
window.open("http://myassi.mydomain.de/","Assi",.....Größe...usw);
}
In der AssiSeite erfolgt bei Click auf ein Button die Übergabe an das Elternfenster:
funktion buttonClick(){
//aufruf Callback des Openers
window.opener.myCallback(wert1, wert2);
window.close();
}
Also ich denke es ist deutlich gewurden auch wenn ich jetzt aus dem Kopf improvisieren musste. Mich interessiert eher der ANsatz. Also bisher habe ich dies so gelöst, dass ich den Assi immer als virt. Verzeichnis in die Website eingebunden habe. da war die domain dann kpl identisch. Der Nachteil, ich kann es nur mit anwendungen benutzen, die auf dem gleichen Webserver laufen. Oder ich müsste den Assi überall verteilen. Aber ich habe jetzt voller Elan einen eigenen DNS-Alias dafür erstellt und nun...Schöne Sch..... :-(
Hat jemand eine Idee??
Viele Grüße
Headley
Kommentar