ComputerBase Menü
Aktuelles

Mit javascript Iframe Same origin Policy umgehen?

B

bernd91364

Cadet 4th Year
Registriert
Nov. 2020
Beiträge
93
Hallo,
gibt es einen Weg um in Bezug auf Iframes die Same origin Policy zu umgehen?

Klingt vermutlich super sus aber es geht um Folgendes:
Ich hab mein Email Psotfach bei GMX, wo ich über deren Backoffice drauf zugreife.

Mein SPamordner ist dauernd voll mit allen möglichem Mist zu potenzmitteln, Gewinnen aus Nigeria, etc.
meist sogar mehrfahc von den selben Emailadressen.

GMX hat zwar eine Blacklist Funktion.
Dazu muss man aber in die Einstellungen und dort jede Email einzeln eintragen.
Also email eintippen, "auf blacklist setzen", rinse and repeat.

Gibt leider, so wie es jeder Normale annehmen würde, im Emailbereich selbst keinen einfachen Button um einen Absender einer EMail direkt draufzusetzen.

Jedenfalls will/wollte ich eigentlich 1-2 Tampermonkey Skripte bauen.

Ein Skript das ich ausführe wenn ich die Lsite mit den Spamnachrichten aufhabe und der schlicht jede der Emailadressen in einem eigenen Cookie abspeichert (Cookie Namen "Spam_1", "Spam_2" etc. oder so).
Und ein 2. Skript das och dann auf der Blacklistseite ausführe und einfach die Cookies ausliest und Stück für Stück in die Blackliste einträgt, Autocclicker Stil.


Nun problem nur:
Auf der Emailseite musss ich ja erstmal an die EMailadressen kommen.

Die Elemente wo die drinstehen, sind ziemlich tief verschachtelt.
Vom Dom Tree her muss ich da erst in einen Ifram reinkommen, darin in eine shadow root rein und von da in eine weitere shadow root rein.

Und da tief drin ist die Lsite mit den elementen, deren innerText die Emailadressen sind.

javascript technisch kein Problem.
Nur die sch... Fehlermeldung, dass ich auf das "innere" des Iframes nicht zugreifen kann wegen der sch... Same origin Policy!

Weil wohl der Iframe eine Art "Drittanbieterinhalt" darstellt und ich mit javascript daher dadrauf nicht zugreifen darf!

Ziel war halt, eingie der Emails im Spam Ordner zu markieren (nicht alle dort sind wirklich "Spam" und sollen nicht auf die Blacklist) und von den markierten Emails halt die EMailadressen auslesen und in Cookies speichern.

Was extrem sch... ist, drum kann ich es nicht bauen wie geplant.


Gibt es da irgendwie noob-passende Mittel und Wege, da easy drum herum und eben an den Inhalt des Iframes zu kommen?


GMX bietet leider keine API an, man kann zwar (wie mit Thudnerbird und Co) auf Emails zugreifen und senden.
(wüsste nicht wie man das javascript mässig umsetzt als Teil eines Tampermonkey Scripts).

Aber an die Blacklist kommt man wohl so nicht dran, die geht wohl nur über das webinterface :-/


Hat Jemand einen guten Rat, wie das gehen könnte?

Stört mich shcon seit Jahren aber gmx hat wohl nicht vor, die blacklist und whitelist mal nach vorne zu holen damit man easy Leute rauf und wieder rutner setzen kann :-/
 
Und sich evtl auch gleich überlegen, ob die GMX-Adresse langfristig noch sinnvoll ist...
 
  • Gefällt mir
Reaktionen: 0x8100
tollertyp schrieb:
Und sich evtl auch gleich überlegen, ob die GMX-Adresse langfristig noch sinnvoll ist...
Zum Vergrößern anklicken....
Nahc über 10 Jahren werde ich die Emailadresse nicht ändern.
Ist auch kein großes Problem, da einmal am tag das Spamfach zu überfliegen und dann Alles zu löschen.
Nur hätte ich halt gerne ausgedünnt wenn ich eh weiß dass die selben Scammer jeden Tag schreiben.


floq0r schrieb:
Würde das eher mit einem headlessbr9wser lösen. Oder du schaust dir im inspector die requests an und baust sie dir programmatisch per cURL auf.
Zum Vergrößern anklicken....
Wie würde ich das machen , was würde da ein headless browser ändern?
Ist da die DOM Struktur der Site nicht trotzdem die Gleiche?

Mit Requests habe ich auch shcon nachgedacht, aber die Post Request die rausgeht um etwas auf die Sperrliste zu setzen, schickt zig Cookies, irgendeine sID und Co mit , wo ich keine Ahnung habe wo die herkommen oder wie ich sie auslesen kann.
 
Im Headless Browser würdest du den iframe gar nicht brauchen weil du direkt auf die GMX Seite zusteuern kannst.
Du kannst auch versuchen dir etwas in der Konsole zusammenzubasteln. Such im Network Tab vom Inspector mal den Request > Rechtsclick > Copy > Copy as fetch. Dann sind im kopierten Funktionsaufruf bereits alle Header drin.
 
Könntest du nicht die URL des innersten iframes einfach im Browser öffnen und das Script dann darauf ausrichten?
 
Du kannst CORS Browserseitig deaktivieren.
Dazu musst du erst einmal ein 'Working Directory' anlegen z.B. C:\ChromeWithoutCORS
Dann Chrome mit dem folgenden Befehl starten:
Code: 
chrome.exe --user-data-dir="C:\ChromeWithoutCORS" --disable-web-security

Beachte aber, dass hier eine Sicherheitslücke aktiviert wird und diese Einstellungen auf gar keinen Fall zum normalen Browsen gedacht ist.
 
In Firefox müsste das über die about:config gehen:

Code: 
about:config -> security.fileuri.strict_origin_policy -> false
 
Warum 2 Threads für das selbe technische Problem?
Und warum stört Dich der Spam-Ordner?
Da schaue ich nur rein, wenn ich eine E-Mail erwartet habe und wenn die nicht im Posteingang gelandet ist.
Dann wird der Absender auf die Whitelist gesetzt und genau so soll es doch auch funktionieren.
Das ist das Konzept dahinter.
 
Also ich bin da scheinbar unnormal aber ich hab durchaus Emailanbieter wo ich zwar Emails kriegen will grundsätzlich aber nicht die im Posteingang haben will wo ich belästigt werde.
Wie Werbeprospekte, die meiste Zeit nerven sie aber abbestellen will man sie auch nicht wei könnten ja mal Coupons drin sein oder so.


Und dann gibt es noch Rotz wie "Sie haben gewonnnen, nur 500 Euro schicken um den preis abzuräumen" Bullshit.
Dreck, den man nicht erhalten will. Und dessen Absender ich gerne blockieren will.

Leider gibt es ja keinen wirklichen "ICH WILL DEN SCHEIß NIE WIEDER KRIEGEN" Ordner, wo man Mist reinpacken kann. Und gmx dann die zugeörigen Absender auch nicht mehr durchlässt.

AUsser halt die Blacklist, aber die ist wie gesagt miserabel versteckt in den Eisntellungen und man muss Email eintippen, absende, email intippen, absenden, etc.

Also nicht einfach einmal aufmachen "Ach wieder der Spamrotz von dem Typ" und schöner klick auf "auf blacklist setzen", so wie es beim spamordner geht.

Hat gmx wohl nicht gedacht dass jemand das je wollen würde, scammer blockieren -.-

Warum das neue Thema?
Gibts denn eine Lösung im alten Thema?
Rotz SOP existiert immer noch und ich kann immer noch kein javascript bauen mit dem ich code mässig ganz simpel die DOM Sachen auslesen kann, die ich sowie der Hund hinter mir vor mir sehe.
Und ich wil ja gerade nicht da sitzen, Emailadrsse für Emailadresse von Hand aus der DOM rauskopieren sondern dass soll das Programm machen.

geht halt nur nicht, dem Schwachmaten, der SOP erfunden hat, sei Dank!
 
Vielleicht ist GMX auch einfach nicht der passende E-Mail-Anbieter für dich.
Jemand schrieb mal:
tollertyp schrieb:
Und sich evtl auch gleich überlegen, ob die GMX-Adresse langfristig noch sinnvoll ist...
Zum Vergrößern anklicken....
und dem würde ich mich anschließen... huch, war ich ja selbst.

Aber dann kommt das Argument "Was ist denn das für ein Aufwand, die E-Mail-Adresse zu ändern", und da kann man nur sagen:
a) der wird nur größer, wenn man es länger nicht macht
b) Ähnlich wie bei einem postalischen Umzug muss die alte Adresse ja nicht gleich totgeschalten werden, man kann sie ja erst mal weiternutzen

Aber wie in der heutigen Politik ist man nicht ergebnisoffen bei Problemen und es gibt Denkverbote für Lösungen, die nicht der eigenen Vorstellung entsprechen.
 
  • Gefällt mir
Reaktionen: dms
Und was bringt mir das, wenn es bspw., nicht um Emails geht sondern bspw. Webscraping und Co?
Wo bzw. ein Twitter Text als Captcha "eingebettet" ist als ifram oder so?

Das Problem gibts ja tausendfach , nicht nur bei gmx Mail sondern ... hm... so ziemlich in jeder Situation wo iframes vorkommen, also fcking überall und dauernd.

Da löst ein neuer Emailanbieter das Grundproblem/die Grundfrage gar nicht.

Und nein, Mailanbieter wechsel ich nicht, alleine schon wegen der bezahlten Premiumfunktionen.
Ich brauche shclicht den Speciherplatz für die Emails.

Und ich weiß nicht welche Hunderttausenden Webseiten, unternehmen und Co ich über die Jahrzehnte shcon meine Emailadresse gegeben habe.

Da ist ein "Umzug" weder möglich noch sinnvoll.
Den Aufwand, nur weil ein paar Deppen SOP Dreck erfinden mussten und man nicht einen simplen Blacklist Button bauen kann. Nicht dass ich es javascript mässig nicht hinbekäme, inklusiv DOM Gesuche Sache von ein paar Minuten. Nur SOP behindert da.

Ergebnisoffen wäre, wie ich um die SOP rumkomme, zumindest wenns ums Auslesen der Dom eines Iframes geht.
 
Erinnert mich an meine frühere Ungeduld "aber ich will doch ... mit dem Fuss aufstampfend"

Dann nimm doch den TB mit IMAP nur um ihn den als Entsorger das dort via Regeln machen lassen

Kann es sein das du genervt bis,t das dein Postfach Platzt und wichtige Mails abgelehnt werden - da schafft bei GMX etwas Geld die Freiheit....
 
  • Gefällt mir
Reaktionen: tollertyp
Ich weiß, das Geld lege ich schon regelmässig hin für den Top Mail Account.
Drum werd ich auch sicher nicht den Anbieter wechseln.


Ich will nur die Frage beantwortet haben. Und kein Themenfremdes "Wehcsle doch den Emailanbieter".

Problem sind Iframes.
Und die miserable SOP, die irgendein Schwachmatt erfunden hat.
Wohl genauso ein Depp wie die Script Kiddies, die Angst hatten, ein böser Gangster Hacker würde ihre Spielstände klauen, drum wurde Flash und damit alle Flash Games der letzten jahrzehnte gekillt.
Danke, paranoide Nerd Spinner!
 
bernd91364 schrieb:
Und ich weiß nicht welche Hunderttausenden Webseiten, unternehmen und Co ich über die Jahrzehnte shcon meine Emailadresse gegeben habe.

Da ist ein "Umzug" weder möglich noch sinnvoll.
Zum Vergrößern anklicken....
Vielleicht solltest du dich mit den Möglichkeiten beschäftigen, die es bei E-Mails gibt (wie z.B. Weiterleitungen an andere Adressen, Abholen von E-Mails aus anderen Postfächern ...), und weniger mit IFrames und Umgehung von Sicherheitskonzepten.

Ich nehme an an die Hunderttausende Webseiten schreibst du auch regelmäßig Mails, die wären vermutlich echt überrascht, wenn du mit neuer Absenderadresse daherkommen würdest...
 
Ich weiß nicht, was aufwändiger ist: Sich ein Script zu schreiben, das allerdings regelmäßiger Anpassung bedarf, da sich Webanwendungen auch regelmäßig ändern, oder einen neuen E-Mail-Anbieter zu suchen.

Das Argument, einen Service nicht zu wechseln, weil man für diesen bezahlt, höre ich zum ersten Mal.

bernd91364 schrieb:
Und die miserable SOP, die irgendein Schwachmatt erfunden hat.
Zum Vergrößern anklicken....
Die Same-Origin Policy ist eine sinnvolles Konzept, um zu verhindern, dass unerwünschte Scripte und Co. eingebunden werden. Man kann gerne eine Meinung zu den Konzepten haben, aber ohne Fachwissen die Entwickler als Schwachmaten zu bezeichnen, finde ich scheiße.

bernd91364 schrieb:
Und ich weiß nicht welche Hunderttausenden Webseiten, unternehmen und Co ich über die Jahrzehnte shcon meine Emailadresse gegeben habe.
Zum Vergrößern anklicken....
Ich will dir nicht sagen, dass du selbst schuld bist, aber wenn man seine E-Mail-Adresse so weitergibt, muss man damit rechnen, dass diese E-Mail-Adresse auch auf vielen Spammer-Listen landet.

An deiner Stelle würde ich mir auch einen neuen E-Mail-Anbieter suchen, der deine Anforderungen erfüllt. Du könntest dir zusätzlich eine Domain besorgen und dir einen Anbieter suchen, bei dem du auch eine eigene Domain verwenden kannst. Dann kannst du den Anbieter wechseln, ohne deine E-Mail-Adresse überall anpassen zu müssen.

Eine andere Option ist noch, sich eine Browsererweiterung zu schreiben. Die kann einen umfangreicheren Zugriff auf Websites haben.
 
Zuletzt bearbeitet: (Rechtschreibfehler)
  • Gefällt mir
Reaktionen: tollertyp
bernd91364 schrieb:
Mein SPamordner ist dauernd voll mit allen möglichem Mist zu potenzmitteln, Gewinnen aus Nigeria, etc.
meist sogar mehrfahc von den selben Emailadressen.
Zum Vergrößern anklicken....
Das ist vollkommen normal. Die Adressen werden benutzt, bis eine Kampagne rum ist. Das dauert ein maximal zwei Tage, danach siehst du diese Adresse nie wieder, weil sie verbrannt ist.
bernd91364 schrieb:
GMX hat zwar eine Blacklist Funktion.
Zum Vergrößern anklicken....
Blacklisting gegen Spam ist eine Maßnahme aus den 90ern. Das bringt heute exakt gar nichts mehr. Grund: Siehe oben.

Dein Vorhaben ist vielleicht technisch interessant, aber als Lösung für dein Grundproblem - zu viel Spam - vollkommen nutzlos.
 
  • Gefällt mir
Reaktionen: Janush
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Falc410
JavaScript ajax Abfragen zu Remote Webservice - Same-Origin-Policy umgehen?
Antworten
6
Aufrufe
2.385
Falc410
Falc410
C
JavaScript Fragen zur Same-Origin-Policy und XSRF
Antworten
1
Aufrufe
912
Falc410
Falc410
D
Web-APIs und die Same-Origin-Policy
Antworten
1
Aufrufe
1.425
Daaron
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 161 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz