5. JSONP (XSSI)
• JSON with padding, Cross site script
include
• X-Content-Type-Options: nosniff
6. Flash and MS Silverlight
• crossdomain.xml и clientaccesspolicy.xml
• *, *.example.com
7. Modern CORS
Same Origin Policy для XMLHttpRequest
Origin: https://site1.com
Web-
APP
Server – site1.com
Server – site2.com
Browser
https://site1.com
XMLHttp
10. postMessage
• Проверка Origin на разработчике
• Уязвимый сайт в <iframe> — защита X-
Frame-Options
• Уязвимый сайт в поп-апе (window.open) —
предупреждения от браузера
• Можно использовать расширения хрома —
OWASP London, доклад Арсения Реутова
(https://raz0r.name/) https://goo.gl/MGrhN9