包含第三方iFrame的安全风险
[英]Security Risks of Including a 3rd Party iFrame
问题描述
包含隐藏的第三方iFrame有哪些应用程序安全风险?
如果我理解正确的话......
- 点击顶起对我来说不是问题,因为我拥有父页面
- 同源策略阻止3p帧与我的dom / cookies / js交互
- 框架是隐藏的,所以我不必担心框架中可能显示的任何内容
但是我在Chrome控制台中做了一些实验并且......
- 3p帧可以调用警报/提示等内容
- 3p帧可以通过location.href重定向父
- 3p帧内的恶意软件(java / flash / activeX)可能会感染我的用户
我很想看到可能的问题和任何缓解措施的清单,但我找不到一个好的信息来源。
那么......包含隐藏的第三方iFrame的应用程序安全风险是什么?
1 个解决方案
解决方案1
1 2013-10-16 15:39:15
如果您要在自己的网站上实施Iframe,则可以使用HTML5的iframe中的sandbox标记来阻止您自己/网站上的其他人。
资料来源: http : //www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox
我不知道它有多有效(沙箱功能),但它声明它可以限制iframe内的脚本,表单等。
<iframe sandbox="" src="www.example.com"/>
虽然不是一种有保证和有效的方法,但它是众多不同方法中的一种。 但是,在您的最后,您可以使用NoScript等附加组件来阻止某些/所有脚本运行。
正如你所说,第三方iframe可能会使用诸如下载驱动,浏览器漏洞等攻击来获取对操作系统的访问权限,甚至更多。
另见此处: 为什么iframe被认为是危险的并且存在安全风险?
希望这可以帮助。
是否包含所有这些第三方JavaScript文件会带来安全风险?
[英]Does including all these 3rd party javascript files impose a security risk?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.