包含隐藏的第三方iFrame的应用安全风险是什么?包含第三方iFrame的安全风险
如果我理解正确的话......
- 点击劫持是不是我的问题,因为我自己的父页面
- 同源策略阻止3P帧从交互我的DOM /饼干/ JS
- 框架是隐藏的,所以我不担心不过,我做了一些实验在Chrome的控制台,可以显示在框
什么...
- 3P框架可以调用之类的警告/提示
- 3P框架可以通过location.href
- 恶意重定向3P框架(Java /闪光灯/ ActiveX技术)内父能感染我的用户
我很想看到可能的问题和任何缓解的列表,但我找不到一个好的信息来源。
那么......包含隐藏的第三方iFrame的应用程序安全风险是什么?
我不知道沙盒属性,非常感谢! 但是,我仍然想知道风险是什么。由于大多数答案都假设你的网站将是包含网站的,而不是其他方式,所以stackoverflow链接并没有真正回答它。 –
没问题 - 直到HTML5完全推出到所有浏览器,并且所有网站都使用它们 - 我不会依赖它作为唯一的保护手段。至于iframes的风险,它基本上与访问一个网站相同,只是嵌入到你的网站上。如果你的网站很脆弱(XSS等),那么它可能会产生影响。否则,正如你所提到的 - 漏洞可以通过iframe运行。正如提到的链接 - Iframes不是问题,它是托管内容的网站。与其专注于iframe,不如专注于网站/网页浏览器的可能利用。希望这有助于澄清一些事情。 – RobAtStackOverflow