1. 首页
  2. 问题列表
  3. 包含第三方iFrame的安全风险
提问者:小点点

包含第三方iFrame的安全风险


包含隐藏的第三方iFrame的应用程序安全风险是什么?

如果我理解正确的话…

  • 点击劫持对我来说不是问题,因为我拥有父页面
  • 同源策略阻止3p帧与我的dom/cookies/js交互
  • 框架是隐藏的,所以我不必担心框架中可能显示的任何内容

然而,我做了一些实验在Chrome控制台和…

  • 3p frame可以调用警报/提示
  • 3p帧可以通过location. href
    • 重定向父帧
  • 3p框架内的恶意软件(java/flash/activeX)可能会感染我的用户

我很想看到可能的问题和任何缓解措施的列表,但是我找不到一个好的信息来源。

因此…包含隐藏的第三方iFrame的应用程序安全风险是什么?


共1个答案

匿名用户

如果您正在您的网站上实现Iframe,您可以在HTML5'iframe中使用沙盒标签来防止自己/他人访问您的网站。

来源:http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

我不知道它有多有效(沙盒功能),但它指出它可以限制iframe内的脚本、表单等。

虽然不是一个有保证的有效方法,但它是许多不同方法之一。不过,在您的一端,您可以使用NoScript等附加组件来阻止某些/所有脚本运行。

正如你所说,第三方iframe可能会使用诸如下载驱动器、浏览器漏洞等漏洞来访问你的OS,甚至更多。

另请参阅此处:为什么iframe被认为是危险和安全风险?

希望这有帮助。

相关问题



热门标签
Java JavaScript Python PHP C# Android Html jQuery C++ Css IOS MySQL NodeJS