我想打开我的小平台的开发人员,使他们可以建立应用程序可以插入我们的网站作为iframe。与Facebook类似,但不是,我不想构建另一个Facebook :)。根据我的理解,开发人员可以使用iframe构建Facebook应用程序。Facebook的画布iframe和安全
问题:我想知道如何从Facebook用户的角度来看安全。 Facebook如何防止应用程序开发人员不将恶意软件JavaScript代码放入iframe中。我没有注意到任何自动防止在iframe中包含类似内容的机制。
TNX
不,这不是在所有问题,我想你是担心白白。
没有安全问题,您需要担心自己,iframe中加载的页面被沙箱化,并且被浏览器“保护”。 由于两个iframe不共享相同的域,因此两个iframe甚至无法互相通信,如果两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行javascript代码的任何尝试。
Facebook做的事情是解决该问题,Facebook中的每个iframe应用程序加载facebook javascript sdk,然后使嵌套的iframe向Facebook发出请求并在数据返回时通过回调函数通知。
至于“iframe中的恶意软件javascript代码通过浏览器攻击用户计算机”,iframe与浏览器页面具有相同的安全策略,如果有人设法绕过这些策略,差异在哪里被加载,Facebook没有执行任何其他安全措施。
您需要担心的唯一一件事是iframe中的脚本将能够访问您的脚本和/或dom,除非您创建一个machnism,让它们(不知何故绕过跨域政策)。
谢谢你的回答。但我不确定我是否了解你。你说:“如果两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行JavaScript代码的任何尝试。”简单的测试,如果我把我的网页
你能举出你担心第三方尝试待办事项的例子么? – nav 2012-04-10 18:21:22
他们可以将iframe中的恶意软件javascript代码通过浏览器攻击用户计算机。我不确定FB如何防止这种情况,因为任何人都可以开发canvas iframe应用程序。 – user1324762 2012-04-10 19:11:39