1

我们想为我们的品牌页面做一个 Facebook 应用程序,其中一个表单将从我们拥有的安全域中引入。但我们的财务部门似乎不愿意允许这样做,因为 iFrame 可能会进行“跨框架脚本”攻击。

许多大公司在 FB 内部都有应用程序并正在收集用户数据。我怀疑 FB 会允许任何以这种方式不安全的代码。我正在寻找任何谈论 FB 如何管理此类风险的网站。我们能做些什么来管理这种风险呢?如果我们的内容来自我们自己的安全服务器,那不是真的吗,那么 FB 恰好是我们做事的地方,但真正的安全性在于我们吗?

欢迎任何想法来反驳我们财务部门的保留意见,甚至是详细阅读此主题的指针。FB自己在这件事上的帮助很少。

谢谢!

4

2 回答 2

1

跨框架脚本是一种利用跨站点脚本 (XSS) 漏洞的方法。如果您的 Web 应用程序已经过测试并发现不受 XSS 漏洞的影响,那么跨框架脚本就不是问题。

您可能想阅读有关同源策略以及它如何处理 iframe的信息。附带说明一下,XSS 对攻击者很有用,因为它允许他们绕过同源策略。

对于允许 iframe 内容的网站,您不必担心点击劫持。如果您不熟悉 XSS 等极其常见的 Web 应用程序漏洞,请务必阅读 OWASP 前 10 名。

于 2013-01-19T18:02:01.650 回答
0
于 2013-01-19T18:41:55.190 回答