HTA: Frames
von Jan Winkler
HTA lässt es zu, dass auf Scripte und Dokumente von verschiedenen Domains (Herkunftsadressen) zugegriffen und diese ausgeführt werden können. Um dabei entstehende Sicherheitsrisiken zu vermeiden werden dazu den HTML-Elemente frame und iframe, welche diese externen Dateien darstellen können, das application-Attribut gegeben. Es wird bei normalen HTML-Dokumenten ignoriert und nur bei HTA-Anwendungen beachtet.
Das application-Attribut besagt, ob der Inhalt dieses (I-)Frames mit zur Anwendung gehört oder nicht. Dazu können die Werte yes und no notiert werden. yes bedeutet, dass der Inhalt dieses (I-)Frames mit zur Anwendung gehört. Alle Scripte die in den im Frame geladenen Dokumenten enthalten sind, können dann - wie die HTA-Anwendung selbst - auf das System zugreifen. Wird der Wert no (Standard) notiert, so bleibt dies den Scripten versagt. Für diese Dokumente gelten dann die normalen Sicherheitseinstellungen wie für jede andere Webseite auch. Beispiel:
<frameset ... >
<frame ... application="yes">
<frame ... application="no">
</frame>
Dabei sind die folgenden Dinge zu beachten:
- Das Attribut muss für alle
frame- bzw. iframe-Elemente gesetzt werden, für die diese Bestimmungen gelten sollen. Wird es nicht gesetzt, so gilt automatisch no.
- Enthält ein Frame weitere Frames so müssen auch diese gekennzeichnet werden. Ansonsten gilt für sie
no.
- Enthält ein mit
no gekennzeichneter Frame weitere Frames so gilt diese Eigenschaft auch für alle enthaltenen Frames - egal wie sie gekennzeichnet sind. Dies gilt nicht für mit yes gekennzeichnete Frames.
- Mit
no gekennzeichnete Frames erhalten weder referer (document.referer) noch opener (window.opener).
| 
