2013-10-16 92 views
5

包含隐藏的第三方iFrame的应用安全风险是什么?包含第三方iFrame的安全风险

如果我理解正确的话......

  • 点击劫持是不是我的问题,因为我自己的父页面
  • 同源策略阻止3P帧从交互我的DOM /饼干/ JS
  • 框架是隐藏的,所以我不担心不过,我做了一些实验在Chrome的控制台,可以显示在框

什么...

  • 3P框架可以调用之类的警告/提示
  • 3P框架可以通过location.href
  • 恶意重定向3P框架(Java /闪光灯/ ActiveX技术)内父能感染我的用户

我很想看到可能的问题和任何缓解的列表,但我找不到一个好的信息来源。

那么......包含隐藏的第三方iFrame的应用程序安全风险是什么?

回答

1

如果您在您的网站上实施Iframe,则可以使用HTML5'iframe中的​​标记来阻止您/您网站上的其他人。

来源:http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

我不知道它是如何有效(沙箱功能),但它指出它可以限制iframe中的脚本,形式等。

<iframe sandbox="" src="www.example.com"/>

虽然不是保证和有效的方法,它是许多不同的方式之一。尽管如此,您可以使用NoScript等附件来防止某些/所有脚本运行。

正如您所说,第三方iframe可能会使用漏洞扫描,浏览器漏洞攻击等访问您的操作系统以及可能更多的漏洞。

也见这里:Why are iframes considered dangerous and a security risk?

希望这有助于。

+0

我不知道沙盒属性,非常感谢! 但是,我仍然想知道风险是什么。由于大多数答案都假设你的网站将是包含网站的,而不是其他方式,所以stackoverflow链接并没有真正回答它。 –

+1

没问题 - 直到HTML5完全推出到所有浏览器,并且所有网站都使用它们 - 我不会依赖它作为唯一的保护手段。至于iframes的风险,它基本上与访问一个网站相同,只是嵌入到你的网站上。如果你的网站很脆弱(XSS等),那么它可能会产生影响。否则,正如你所提到的 - 漏洞可以通过iframe运行。正如提到的链接 - Iframes不是问题,它是托管内容的网站。与其专注于iframe,不如专注于网站/网页浏览器的可能利用。希望这有助于澄清一些事情。 – RobAtStackOverflow