th_wolfgang
New member
Hallo,
Ich suche nach einer Lösung im Bereich JavaScript der folgenden Problematik:
Ich habe über einen Root-Server verschiedene Domains. Jetzt benötige ich eine Domain diese einwandfrei als solche funktioniert auf einer zweiten Domain. Das stellt alles kein Problem dar, so kann man in die Zweitdomain ein htaccess schreiben, der den Betrachter auf Domain 1 umleitet. So bleibt der gleiche SQL-Server als Kundenserver vorhanden, ohne zwei Domains separat verwalten zu müssen. Die Frage ist allerdings wie kann ich verhindern, dass die Domainbezeichnung im Browserfenster sich verändert. Es soll der Domainname stehen bleiben, den der Betrachter eingegeben hat und nicht der der Domain 1.
Eine Möglichkeit gibt es, die Umleitung nicht mit einer htaccess zu gestalten, sondern ein iFrame in die Domain zwei setzen.
Z.B. so:
CSS:
JAVASCRIPT:
Jetzt habe ich aber ein weiteres und viel schwierigeres Problem, IFRAM!
Hierbei werden die Session-Cookies der Webseite nicht mehr gesetzt bzw. sind sie als 3rd Cookies (wegen des iFrames) von Browsern gesperrt (bis auf Firefox). Mit Sandbox Attributen bekommt man den IE auch zum laufen z.B. so:
Ja, was mache ich mit den Betrachtern von Smartphones, hier funktioniert das mit dem Session-Cookie nicht! Alle z.B. apple-Phone Betrachter können so meinen Shop nicht nutzen, da zum Einkauf auf diesem Session-Cookies erforderlich sind. Jetzt habe ich auch die Problematik, dass 70% der Webseitenbetrachter mittlerweile von Handys auf meine Seite kommen?
Wie kann man Punkt eins (htaccess) evtl. mit einem JavaScript lösen, oder Punkt zwei (iFrame) ???
Dieses Thema beschäftigt mich schon sehr lang und ich habe noch keinen Weg gefunden, hier eine ordentliche bzw. zufriedenstellende Lösung gefunden zu haben, bitte helft mir
LG & Danke
Wolf
- - - Aktualisiert - - -
NACHTRAG:
Ich bin hier etwas am Basteln, und versuche über eine Empfehlung aus dem Forum evtl. eine Möglichkeit "Session staling" XSS zu finden. So ist die Frage ob man mit evtl. solchen Scripts den gewünschten Erfolg in Punkt2 bekommen würde. Da stellt sich lediglich die Frage, wo ich das Schnipsel einstellen muss auf meiner Domain1 oder Domain2? Wenn es dann da geeignet erscheinen sollte.
Auch mit diversen Test (Code aus Google etc.) habe ich bis her so meine Probleme: (ich will das gern auf Domain2 in den iFrame einbinden um von Domain1 die Cookies weitergeleitet zu bekommen, funktioniert so aber nicht, evtl. mach ich was falsch oder bin auf dem "Holzweg"!
Ich habe auf alle meine Domains kompletten Zugriff ich bin der Admin, also bracht man nichts "zu stehlen" evtl. gibt es ein Schnipsel, den man schon in die Domain1 einbindet und diese Domain2 im iFrame "versorgt". Bei Domain2 baut am dann das Gegenstück ein, so das hier nicht Session-Cookies in der ganzen Welt rum fliegen".
Ich bin hier am lesen und lernen, aber ob dies funktioniert, bei einem Test mit Cookies von der Seite gibt meine webseite einen 404 Error aus. http://www.exploit-db.com/papers/14626/
Danke & LG
Wolf
Ich suche nach einer Lösung im Bereich JavaScript der folgenden Problematik:
Ich habe über einen Root-Server verschiedene Domains. Jetzt benötige ich eine Domain diese einwandfrei als solche funktioniert auf einer zweiten Domain. Das stellt alles kein Problem dar, so kann man in die Zweitdomain ein htaccess schreiben, der den Betrachter auf Domain 1 umleitet. So bleibt der gleiche SQL-Server als Kundenserver vorhanden, ohne zwei Domains separat verwalten zu müssen. Die Frage ist allerdings wie kann ich verhindern, dass die Domainbezeichnung im Browserfenster sich verändert. Es soll der Domainname stehen bleiben, den der Betrachter eingegeben hat und nicht der der Domain 1.
Eine Möglichkeit gibt es, die Umleitung nicht mit einer htaccess zu gestalten, sondern ein iFrame in die Domain zwei setzen.
Z.B. so:
Code:
<?php header('p3p: CP="NOI ADM DEV PSAi COM NAV OUR OTR STP IND DEM"'); ?>
HTML
<html>
<head><title>MEINE DOMAIN</title>
<meta name="Keywords" content="">
<META name="LANGUAGE" content="de-DE">
<meta http-equiv="content-language" content="de-DE">
<meta name="ROBOTS" content="noindex,nofollow">
<link href="/zzz/css.css" rel="stylesheet" type="text/css">
<script type="text/javascript" src="/zzz/gas.js"></script>
</head>
<body>
<table cellspacing="0" cellpadding="0" id="main">
<tr><td><iframe src="http://Domain1.com" name="fid1" id="fid1" width="100%" height="100%" marginwidth="0" marginheight="0" frameborder="0"></iframe></td></tr></table>
<div align="center" id="bottom">
<h1><a href="http://Domain2.com"> </a></h1><br><br>
<h2><a href="http://Domain2.com"> </a></h2><br><br>
</div>
</body>
</html>CSS:
Code:
html,body {overflow: hidden;}
body { margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; overflow: hidden; }
table#main{ height: 100%; width: 100%; z-index: 2; position: absolute; top: 0px; left: 0px; }
table#adv{ z-index: 5; }
div#bottom{ z-index: 1; position: absolute; left: 0px; top: 0px; display:none;}JAVASCRIPT:
Code:
function addLoadEvent(func,arg){
if (!arg){
var oldonload = window.onload;
if (typeof window.onload != 'function') {
window.onload = func;
} else {
window.onload = function() {
oldonload();
func();
}
}
}else{
if (arg){
oldonload = window.onload;
if (typeof window.onload != 'function') {
window.onload = func(arg);
}
window.onload = function() {
oldonload();
func(arg);
}
}
}
}
function loadGAScript(){
if (!document.getElementsByTagName) return false;
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
var gaScript = document.createElement("script");
gaScript.setAttribute("src",gaJsHost +"google-analytics.com/ga.js");
gaScript.setAttribute("type","text/javascript");
var domHead = document.getElementsByTagName("head")[0]
domHead.appendChild(gaScript);
}
loadGAScript();
function callGA(){
var pageTracker = _gat._getTracker("UA-9575317-2");
pageTracker._setDomainName("none");
pageTracker._setAllowLinker(true);
pageTracker._initData();
pageTracker._trackPageview();
}
addLoadEvent(callGA);Jetzt habe ich aber ein weiteres und viel schwierigeres Problem, IFRAM!
Hierbei werden die Session-Cookies der Webseite nicht mehr gesetzt bzw. sind sie als 3rd Cookies (wegen des iFrames) von Browsern gesperrt (bis auf Firefox). Mit Sandbox Attributen bekommt man den IE auch zum laufen z.B. so:
Code:
<?php header('p3p: CP="NOI ADM DEV PSAi COM NAV OUR OTR STP IND DEM"'); ?>
<html>
<head><title>MEINE DOMAIN</title>
<meta name="Keywords" content="">
<META name="LANGUAGE" content="de-DE">
<meta http-equiv="content-language" content="de-DE">
<meta name="ROBOTS" content="noindex,nofollow">
<link href="/zzz/css.css" rel="stylesheet" type="text/css">
<script type="text/javascript" src="/zzz/gas.js"></script>
</head>
<body>
<table cellspacing="0" cellpadding="0" id="main">
<tr><td><iframe src="http://Domain1.com" [COLOR="#008080"][B]sandbox="allow-forms allow-same-origin allow-scripts allow-top-navigation allow-popups allow-pointer-lock"[/B][/COLOR] name="fid1" id="fid1" width="100%" height="100%" marginwidth="0" marginheight="0" frameborder="0"></iframe></td></tr></table>
<div align="center" id="bottom">
<h1><a href="http://Domain2.com"> </a></h1><br><br>
<h2><a href="http://Domain2.com"> </a></h2><br><br>
</div>
</body>
</html>Ja, was mache ich mit den Betrachtern von Smartphones, hier funktioniert das mit dem Session-Cookie nicht! Alle z.B. apple-Phone Betrachter können so meinen Shop nicht nutzen, da zum Einkauf auf diesem Session-Cookies erforderlich sind. Jetzt habe ich auch die Problematik, dass 70% der Webseitenbetrachter mittlerweile von Handys auf meine Seite kommen?
Wie kann man Punkt eins (htaccess) evtl. mit einem JavaScript lösen, oder Punkt zwei (iFrame) ???
Dieses Thema beschäftigt mich schon sehr lang und ich habe noch keinen Weg gefunden, hier eine ordentliche bzw. zufriedenstellende Lösung gefunden zu haben, bitte helft mir
LG & Danke
Wolf
- - - Aktualisiert - - -
NACHTRAG:
Ich bin hier etwas am Basteln, und versuche über eine Empfehlung aus dem Forum evtl. eine Möglichkeit "Session staling" XSS zu finden. So ist die Frage ob man mit evtl. solchen Scripts den gewünschten Erfolg in Punkt2 bekommen würde. Da stellt sich lediglich die Frage, wo ich das Schnipsel einstellen muss auf meiner Domain1 oder Domain2? Wenn es dann da geeignet erscheinen sollte.
Auch mit diversen Test (Code aus Google etc.) habe ich bis her so meine Probleme: (ich will das gern auf Domain2 in den iFrame einbinden um von Domain1 die Cookies weitergeleitet zu bekommen, funktioniert so aber nicht, evtl. mach ich was falsch oder bin auf dem "Holzweg"!
Ich habe auf alle meine Domains kompletten Zugriff ich bin der Admin, also bracht man nichts "zu stehlen" evtl. gibt es ein Schnipsel, den man schon in die Domain1 einbindet und diese Domain2 im iFrame "versorgt". Bei Domain2 baut am dann das Gegenstück ein, so das hier nicht Session-Cookies in der ganzen Welt rum fliegen".
Ich bin hier am lesen und lernen, aber ob dies funktioniert, bei einem Test mit Cookies von der Seite gibt meine webseite einen 404 Error aus. http://www.exploit-db.com/papers/14626/
Danke & LG
Wolf
Zuletzt bearbeitet:
