我想向开发人员开放我的小平台,这样他们就可以构建可以作为 iframe 插入我们网站的应用程序。与 facebook 正在做的类似,但不,我不是要建立另一个 Facebook :)。据我了解,开发人员可以使用 iframe 构建 facebook 应用程序。
问题:我想知道从 facebook 用户的角度来看,安全性如何。Facebook 如何防止应用程序开发人员不将恶意软件 JavaScript 代码放入 iframe。我没有注意到任何阻止在 iframe 中包含类似内容的自动机制。
tnx
问问题
1310 次
1 回答
1
不,这根本不是问题,我想你是白担心了。
没有您自己需要担心的安全问题,iframe 中加载的页面是沙盒的,并且由浏览器“保护”。这两个 iframe 甚至无法相互通信,因为它们不共享同一个域,如果两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行 javascript 代码的任何尝试。
facebook 所做的就是解决这个问题,facebook 中的每个 iframe 应用程序都会加载facebook javascript sdk,然后嵌套的 iframe 可以向 facebook 发出请求并在数据返回时(通过回调)得到通知。
至于“iframe 中的恶意 javascript 代码通过浏览器攻击用户计算机”,iframe 具有与任何其他浏览器页面一样由浏览器强制执行的完全相同的安全策略,如果有人设法以某种方式绕过这些策略,那么它的加载位置几乎没有区别,并且 facebook 没有执行任何其他安全措施。
您唯一需要担心的是 iframe 中的脚本将能够访问您的脚本和/或 dom,除非您创建允许它们的机制(以某种方式绕过跨域策略),否则这不应该发生。
于 2012-04-10T20:32:01.360 回答