製品は、別のドメインからのウェブ機能(ウェブ・ウィジェットなど)を含み、それが製品のドメイン内で動作し、信頼できないソースに製品の完全なアクセスと制御を許可する可能性がある。
ウェブベースの環境にサードパーティの機能を含めることは危険であり、特にその機能のソースが信頼できない場合はなおさらである。
サードパーティが信頼できるソースであっても、その信頼できるソースが侵害されたり、サードパーティから製品への送信中にコードが変更されたりすると、製品は依然として攻撃や悪意のある動作にさらされる可能性があります。
この弱点は、他のドメインからのソース機能を含む可能性のある、ウェブ上の「マッシュアップ」開発でよく見られます。たとえば、JavascriptベースのWebウィジェットは、「<SCRIPT SRC="http://other.domain.here">」タグを使用して挿入されることがあります。この場合、ウィジェットがロードされたリモートサイトではなく、製品のドメインでコードが実行されます。その結果、インクルードされたコードは、開発者がリモート・サイトにアクセスされたくないクッキーやその他のデータを含むローカルDOMにアクセスすることができます。
このような依存関係は望ましい、あるいは必要でさえあるかもしれませんが、プログラマは依存関係が存在することに気づかないことがあります。
The product includes web functionality (such as a web widget) from another domain, which causes it to operate within the domain of the product, potentially granting total access and control of the product to the untrusted source.
Including third party functionality in a web-based environment is risky, especially if the source of the functionality is untrusted.
Even if the third party is a trusted source, the product may still be exposed to attacks and malicious behavior if that trusted source is compromised, or if the code is modified in transmission from the third party to the product.
This weakness is common in "mashup" development on the web, which may include source functionality from other domains. For example, Javascript-based web widgets may be inserted by using '<SCRIPT SRC="http://other.domain.here">' tags, which causes the code to run in the domain of the product, not the remote site from which the widget was loaded. As a result, the included code has access to the local DOM, including cookies and other data that the developer might not want the remote site to be able to access.
Such dependencies may be desirable, or even required, but sometimes programmers are not aware that a dependency exists.