Solucionando un error relacionado con CORS e iframesEstaba probando iframes y CORS en relación con un hallazgo de falsificación de solicitud entre sitios (CSRF) en una prueba de penetración reciente. Olvidé algunas cosas sobre los iframes y tuve que refrescar mi memoria, así que pensé en compartir esto. Mientras examinaba las respuestas sin Stack Exchange y en otros lugares, las explicaciones eran confusas e incompletas. También fue complicado descubrir qué estaba pasando con las especificaciones debido a algunos problemas históricos que estoy seguro de que supe en algún momento, pero lo olvidé. Después de investigar un poco, vinculé la especificación actual al final de esta página. Las especificaciones se trasladaron de IETF y W3 a una organización diferente llamada WHATWG controlada por los proveedores de navegadores en algún momento. Si alguna vez ha estado confundido acerca de por qué puede y no puede hacer algo desde un iframe aunque pensó que había configurado su CORS política correctamente, esto podría ayudar.~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~🔒 Historias relacionadas: Pruebas de penetración | Seguridad de aplicaciones | Código Seguro💻 Contenido Gratuito sobre Empleos en Ciberseguridad | ✉️ Regístrese en la lista de correo electrónico~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~En una publicación anterior escribí sobre cómo la falsificación de solicitudes de origen cruzado (CORS) se puede utilizar para robar cookies que se envían automáticamente a otros servidores cuando tienes ciertos…