6

包含隐藏的第 3 方 iFrame 的应用程序安全风险是什么?

如果我理解正确...

  • 点击劫持对我来说不是问题,因为我拥有父页面
  • 同源策略阻止 3p 框架与我的 dom/cookies/js 交互
  • 框架是隐藏的,所以我不必担心框架中可能显示的任何内容

但是我在 Chrome 控制台中做了一些实验,然后......

  • 3p 帧可以调用诸如警报/提示之类的东西
  • 3p 帧可以通过 location.href 重定向父级
  • 3p 帧 (java/flash/activeX) 内的恶意软件可能会感染我的用户

我很想看到可能出现的问题和任何缓解措施的列表,但我找不到很好的信息来源。

那么...包含隐藏的第 3 方 iFrame 的应用程序安全风险是什么?

4

1 回答 1

2

如果您在您的网站上实施 iframe,您可以使用sandboxHTML5' iframe 中的标签来阻止您自己/他人访问您的网站。

来源:http ://www.whatwg.org/specs/web-apps/current-work/multipage/the-if​​rame-element.html#attr-iframe-sandbox

我不知道它有多有效(沙盒功能),但它声明它可以限制 iframe 内的脚本、表单等。

<iframe sandbox="" src="www.example.com"/>

虽然不是一种有保证且有效的方法,但它是许多不同方法中的一种。不过,您可以使用 NoScript 等附加组件来阻止某些/所有脚本运行。

正如您所说,第 3 方 iframe 可能会使用诸如驱动下载、浏览器漏洞等漏洞来访问您的操作系统,甚至可能更多。

另请参阅此处:为什么 iframe 被认为是危险的和安全风险?

希望这可以帮助。

于 2013-10-16T15:39:15.707 回答