HTA: Frames
HTA lässt es zu, dass auf Scripte und Dokumente von verschiedenen Domains (Herkunftsadressen) zugegriffen und diese ausgeführt werden können. Um dabei entstehende Sicherheitsrisiken zu vermeiden werden dazu den HTML-Elementeframe
und iframe
, welche diese externen Dateien darstellen können, das application
-Attribut gegeben. Es wird bei normalen HTML-Dokumenten ignoriert und nur bei HTA-Anwendungen beachtet. application-Attribut
Dasapplication
-Attribut besagt, ob der Inhalt dieses (I-)Frames mit zur Anwendung gehört oder nicht. Dazu können die Werte yes
und no
notiert werden. yes
bedeutet, dass der Inhalt dieses (I-)Frames mit zur Anwendung gehört. Alle Scripte die in den im Frame geladenen Dokumenten enthalten sind, können dann - wie die HTA-Anwendung selbst - auf das System zugreifen. Wird der Wert no
(Standard) notiert, so bleibt dies den Scripten versagt. Für diese Dokumente gelten dann die normalen Sicherheitseinstellungen wie für jede andere Webseite auch. Beispiel:
<frameset ... >
<frame ... application="yes">
<frame ... application="no">
</frame>
- Das Attribut muss für alle
frame
- bzw.iframe
-Elemente gesetzt werden, für die diese Bestimmungen gelten sollen. Wird es nicht gesetzt, so gilt automatischno
. - Enthält ein Frame weitere Frames so müssen auch diese gekennzeichnet werden. Ansonsten gilt für sie
no
. - Enthält ein mit
no
gekennzeichneter Frame weitere Frames so gilt diese Eigenschaft auch für alle enthaltenen Frames - egal wie sie gekennzeichnet sind. Dies gilt nicht für mityes
gekennzeichnete Frames. - Mit
no
gekennzeichnete Frames erhalten wederreferer
(document.referer
) nochopener
(window.opener
).
Du arbeitest in einer Agentur oder als Freelancer?
Dann wirf doch mal einen Blick auf unsere Software FeatValue.
Über uns
Wir entwickeln Webanwendungen mit viel Leidenschaft. Unser Wissen geben wir dabei gerne weiter. Mehr über a coding project