Привет. Допустим, есть панель управления, куда вводятся определенные данные, так вот, появилась идея создать злонамеренную страницу на стороннем сервисе, которая бы, при переходе на нее, присваивала определенные значение элементам формы на целевой странице и "нажимала" кнопку отправки (делаю на JS). Сделал примерно так, как описано тут http://ir2.ru/otvety31.aspx (ищи по тексту "Как получить через Javascript доступ к документу, загруженному во фрейм?"). Однако в ФФ вообще не выполняется, а в IE пишет типа отказано в доступе. То есть, сделать такое в разных доменах нельзя, или же есть способ обойти?
Если там нету никаких динамических полей и проверки реферера, то сделай на своей странице такие же скрытые поля, и сабмить их на нужный адресс javascript'ом. Подробнее: гугли по тегу "csrf"
Да там есть проверка, по кукисам и еще в одно из скрытых полей записывается некий хеш (ID пассворда или че-то, сырцев нет, так что четко сказать нельзя). Я думал подкинуть страницу с ифреймом админу и тот перейдет, а оно сразу отправит запрос и назначит другого пользователя админом, но, походу, без XSS на сайте так нельзя, а то каждый дурак бы так мог.