Marginwidth\/marginheight – 意想不到的跨源通信通道<\/h1>

概述<\/h2>
本文介绍了一种利用HTML规范中`marginwidth<\/code>和marginheight<\/code>属性实现跨源通信的非传统方法。这种方法在安全研究和XSS挑战中具有特殊价值，因为它提供了一种鲜为人知的跨域通信途径。<\/p>`

核心发现<\/h2>
背景故事<\/h3>
2020年7月6日发布的XSS挑战中，只有四人能够解决，解决方案涉及使用marginwidth\/marginheight<\/code>属性。挑战的核心代码如下：<\/p>
document.addEventListener<\/span>("DOMContentLoaded"<\/span>, () => {
<\/span><\/span>    for<\/span> (let<\/span> attr<\/span> of<\/span> document.body<\/span>.attributes<\/span>) {
<\/span><\/span>        eval(attr<\/span>.value<\/span>);
<\/span><\/span>    }
<\/span><\/span>});
<\/span><\/span><\/code><\/pre>这段代码会遍历<body><\/code>元素的所有属性，并将属性值作为JavaScript执行。挑战的关键在于找到一种方法将任意属性注入到document.body<\/code>中。<\/p>
HTML规范中的发现<\/h3>
HTML规范第14部分"渲染"中规定：<\/p>

如果<body><\/code>标签拥有marginheight<\/code>属性，它将映射到CSS的margin-top<\/code>属性<\/li>
如果不存在该属性，则检查topmargin<\/code>属性<\/li>
如果都不存在，且页面位于嵌套的浏览器上下文(如<frame><\/code>或<iframe><\/code>)中，浏览器将使用容器元素的marginwidth<\/code>属性<\/li>
<\/ul>
关键点<\/strong>：这种现象在跨域情况下也被规范直接允许。<\/p>
浏览器实现差异<\/h2>
Chromium<\/h3>

marginwidth<\/code>属性反映在<body><\/code>元素中，但会被强制转换为整数<\/li>
会监听属性值的动态更改<\/li>
示例代码：<\/li>
<\/ul>
<style<\/span>>
<\/span><\/span>  iframe<\/span>,<\/span> input<\/span> {
<\/span><\/span>    width<\/span>:400<\/span>px<\/span>;
<\/span><\/span>  }
<\/span><\/span><\/style<\/span>>
<\/span><\/span><iframe<\/span> id<\/span>=<\/span>ifr<\/span> src<\/span>=<\/span>"https:\/\/example.com"<\/span> marginwidth<\/span>=<\/span>"0"<\/span>><\/iframe<\/span>>
<\/span><\/span><br<\/span>>
<\/span><\/span><input<\/span> type<\/span>=<\/span>range<\/span> 
<\/span><\/span>       min<\/span>=<\/span>0<\/span> 
<\/span><\/span>       max<\/span>=<\/span>500<\/span> 
<\/span><\/span>       value<\/span>=<\/span>0<\/span>
<\/span><\/span>       oninput<\/span>=<\/span>"ifr.setAttribute('marginwidth', this.value)"<\/span>>
<\/span><\/span><\/code><\/pre>Firefox<\/h3>

<iframe marginwidth><\/code>值不会反映在嵌套文档DOM树中<\/li>
但可以通过getComputedStyle()<\/code>获取<\/li>
滑块示例与Chromium工作方式相同<\/li>
<\/ul>
Safari<\/h3>

<iframe marginwidth><\/code>值无需修改即可反映在嵌套<body><\/code>元素中<\/li>
不会监听属性更改，因此动态修改无效<\/li>
<\/ul>
XSS挑战解决方案<\/h2>
解决方案非常简单：<\/p>
<iframe<\/span> src<\/span>=<\/span>"https:\/\/securitymb.github.io\/xss\/3"<\/span>
<\/span><\/span>        marginwidth<\/span>=<\/span>"alert(document.domain)"<\/span>>
<\/span><\/span><\/code><\/pre>提示<\/strong>：使用Safari可能会更容易解决此挑战。<\/p>
作为跨域通信通道<\/h2>
marginwidth\/marginheight<\/code>可以作为跨域通信通道，不同浏览器实现方式不同：<\/p>


Safari<\/strong>：<\/p>

父元素设置marginwidth<\/code><\/li>
子元素观察<body><\/code>的marginwidth<\/code><\/li>
<\/ul>
<\/li>

Chrome<\/strong>：<\/p>

父级逐字节设置marginwidth<\/code><\/li>
子级观察<body marginwidth><\/code>属性变化<\/li>
<\/ul>
<\/li>

Firefox<\/strong>：<\/p>

父级逐字节设置marginwidth<\/code><\/li>
子元素观察getComputedStyle(document.body).marginLeft<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
安全意义<\/h2>

HTML规范中仍存在许多隐藏特性，可能在某些特殊攻击场景中被利用<\/li>
marginwidth<\/code>特别适合XS-Leaking(跨站泄漏)漏洞，尽管目前尚未找到可行方案<\/li>
展示了非传统跨域通信方法的可能性<\/li>
<\/ol>
总结<\/h2>
本文揭示了HTML规范中一个鲜为人知的特性，展示了如何利用marginwidth\/marginheight<\/code>属性实现跨源通信。不同浏览器的实现差异为安全研究和漏洞利用提供了新的思路。这种技术不仅适用于XSS挑战，也可能在未来的安全研究中发挥重要作用。<\/p>
关键收获<\/strong>：深入理解HTML规范中的边缘特性可以为安全研究提供新的攻击面和防御思路。<\/p>

Marginwidth\/marginheight – 意想不到的跨源通信通道<\/h1>

概述<\/h2> 本文介绍了一种利用HTML规范中marginwidth<\/code>和marginheight<\/code>属性实现跨源通信的非传统方法。这种方法在安全研究和XSS挑战中具有特殊价值，因为它提供了一种鲜为人知的跨域通信途径。<\/p>

概述<\/h2>
本文介绍了一种利用HTML规范中`marginwidth<\/code>和marginheight<\/code>属性实现跨源通信的非传统方法。这种方法在安全研究和XSS挑战中具有特殊价值，因为它提供了一种鲜为人知的跨域通信途径。<\/p>`