1. casa
  2. Domanda e risposta
  3. Rischi per la sicurezza di includere un iFrame di terze parti

Rischi per la sicurezza di includere un iFrame di terze parti

2013-10-16 14 views
5

Quali sono i rischi per la sicurezza dell'applicazione di includere un iFrame di terze parti nascosto?Rischi per la sicurezza di includere un iFrame di terze parti

Se ho capito bene ...

  • clickjacking non è un problema per me, perché ho proprio la pagina padre
  • Same Origin Policy-3p impedisce cornice di interagire miei dom/biscotti/js
  • il telaio è nascosto, quindi non devi preoccuparti di tutto ciò che può essere visualizzato nel frame

Comunque ho fatto alcuni esperimenti nella console Chrome e ...

  • 3p telaio può chiamare le cose come avviso/sollecito
  • 3p telaio può reindirizzare il genitore tramite location.href
  • malware all'interno della cornice 3p (java/flash/ActiveX) potrebbero infettare il mio utente

Mi piacerebbe vedere un elenco di possibili problemi e eventuali attenuazioni, ma non riesco a trovare una buona fonte di informazioni.

Quindi ... Quali sono i rischi per la sicurezza dell'applicazione di includere un iFrame di terze parti nascosto?

fonte

2013-10-16 Joe Zack

risposta

1

Se si implementano iframes sul proprio sito Web, è possibile utilizzare il tag sandbox in iframe HTML5 per impedire a se stessi/altri sul proprio sito Web.

Fonte: http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

non so quanto sia efficace (la funzione sandbox), ma afferma che può limitare gli script, ecc forme all'interno del iframe.

<iframe sandbox="" src="www.example.com"/>

Anche se non è un metodo garantito ed efficace, è uno dei molti modi diversi. Tuttavia, alla fine, potresti utilizzare componenti aggiuntivi come NoScript per impedire l'esecuzione di alcuni/tutti gli script.

È possibile che l'iframe di terze parti, come hai detto, possa utilizzare exploit come download drive-by, exploit del browser per accedere al tuo sistema operativo e possibilmente di più.

vedi anche qui: Why are iframes considered dangerous and a security risk?

Spero che questo aiuti.

fonte

2013-10-16 15:39:15 RobAtStackOverflow

+0

Non sapevo dell'attributo sandbox, grazie mille! Tuttavia, voglio ancora sapere quali sono i rischi. Il link stackoverflow in realtà non risponde, dal momento che la maggior parte delle risposte presuppone che il tuo sito sarà quello incluso, piuttosto che il contrario. –

+1

Nessun problema: fino a quando HTML5 non sarà completamente disponibile per tutti i browser e tutti i siti Web li utilizzano, non mi fare affidamento su di esso come unico mezzo di protezione. Per quanto riguarda i rischi di iframe, è essenzialmente la stessa cosa di visitare un sito web, semplicemente incorporato nel tuo sito web. Se il tuo/il sito Web è vulnerabile (XSS, ecc.), Allora può avere un impatto. Altrimenti, come hai detto tu - gli exploit possono essere gestiti attraverso un iframe. Come menzionato nel link - Gli iframe non sono il problema, è il sito web che ospita il contenuto. Piuttosto che concentrarsi su iframe, concentrarsi su possibili exploit all'interno di siti Web/browser web. Spero che questo aiuti a chiarire alcune cose. – RobAtStackOverflow

Problemi correlati

 Problemi correlati