包含第三方iFrame的安全风险

Question

包含隐藏的第三方iFrame的应用安全风险是什么？

如果我理解正确的话......

• 点击劫持是不是我的问题，因为我自己的父页面
• 同源策略阻止3P帧从交互我的DOM /饼干/ JS
• 框架是隐藏的，所以我不担心不过，我做了一些实验在Chrome的控制台，可以显示在框

什么...

• 3P框架可以调用之类的警告/提示
• 3P框架可以通过location.href
• 恶意重定向3P框架（Java /闪光灯/ ActiveX技术）内父能感染我的用户

我很想看到可能的问题和任何缓解的列表，但我找不到一个好的信息来源。

那么......包含隐藏的第三方iFrame的应用程序安全风险是什么？

Answer 1

如果您在您的网站上实施Iframe，则可以使用HTML5'iframe中的​​标记来阻止您/您网站上的其他人。

来源：http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

我不知道它是如何有效（沙箱功能），但它指出它可以限制iframe中的脚本，形式等。

<iframe sandbox="" src="www.example.com"/>

虽然不是保证和有效的方法，它是许多不同的方式之一。尽管如此，您可以使用NoScript等附件来防止某些/所有脚本运行。

正如您所说，第三方iframe可能会使用漏洞扫描，浏览器漏洞攻击等访问您的操作系统以及可能更多的漏洞。

也见这里：Why are iframes considered dangerous and a security risk?

希望这有助于。