Quali sono i rischi per la sicurezza dell'applicazione di includere un iFrame di terze parti nascosto?Rischi per la sicurezza di includere un iFrame di terze parti
Se ho capito bene ...
- clickjacking non è un problema per me, perché ho proprio la pagina padre
- Same Origin Policy-3p impedisce cornice di interagire miei dom/biscotti/js
- il telaio è nascosto, quindi non devi preoccuparti di tutto ciò che può essere visualizzato nel frame
Comunque ho fatto alcuni esperimenti nella console Chrome e ...
- 3p telaio può chiamare le cose come avviso/sollecito
- 3p telaio può reindirizzare il genitore tramite location.href
- malware all'interno della cornice 3p (java/flash/ActiveX) potrebbero infettare il mio utente
Mi piacerebbe vedere un elenco di possibili problemi e eventuali attenuazioni, ma non riesco a trovare una buona fonte di informazioni.
Quindi ... Quali sono i rischi per la sicurezza dell'applicazione di includere un iFrame di terze parti nascosto?
Non sapevo dell'attributo sandbox, grazie mille! Tuttavia, voglio ancora sapere quali sono i rischi. Il link stackoverflow in realtà non risponde, dal momento che la maggior parte delle risposte presuppone che il tuo sito sarà quello incluso, piuttosto che il contrario. –
Nessun problema: fino a quando HTML5 non sarà completamente disponibile per tutti i browser e tutti i siti Web li utilizzano, non mi fare affidamento su di esso come unico mezzo di protezione. Per quanto riguarda i rischi di iframe, è essenzialmente la stessa cosa di visitare un sito web, semplicemente incorporato nel tuo sito web. Se il tuo/il sito Web è vulnerabile (XSS, ecc.), Allora può avere un impatto. Altrimenti, come hai detto tu - gli exploit possono essere gestiti attraverso un iframe. Come menzionato nel link - Gli iframe non sono il problema, è il sito web che ospita il contenuto. Piuttosto che concentrarsi su iframe, concentrarsi su possibili exploit all'interno di siti Web/browser web. Spero che questo aiuti a chiarire alcune cose. – RobAtStackOverflow