0

在我的应用程序 ( http://www.example.com ) 中,我正在运行 iFrame ( https://www.example.com/iframe-application )。

主页 (www.example.com) 仅根据 iFrame 设置的 cookie 呈现自定义数据。iFrame 具有所有智能、Javascript、安全 cookie 等。iFrame 没有文本、图像等,只有 javascript 代码。

是否存在有人将 iFrame 嵌入另一个站点并访问安全 cookie、登录令牌等的风险?

4

2 回答 2

1

默认情况下,cookie 绑定到域名,因此在正常情况下这是不可能的。

如果你有一个 XSS 漏洞。在您的网站上,他可以访问 cookie,因此请务必转义所有输入字符串。

于 2013-08-09T21:41:00.337 回答
0

这将是一种跨站点脚本攻击,大多数浏览器都会阻止它,除非用户将它们配置为不这样做。

于 2013-08-09T21:40:23.027 回答