黑客嵌入iFrame的安全风险
iFrame Security Risks from Embedding by Hacker
在我的应用程序中(http://www.example.com)我正在运行iFrame(https://www.example.com/iframe-application)。
主页(www.example.com)仅呈现基于iFrame设置的cookie的自定义数据。iFrame拥有所有的智能、Javascript、安全cookie等。iFrame没有文本、图像等,只有Javascript代码。
是否存在有人将iFrame嵌入另一个网站并访问安全cookie、登录令牌等的风险?
默认情况下,cookie绑定到域名,因此在正常情况下,这是不可能的。
如果你有一个XSS Vuln。在你的网站上,他可以访问cookie,所以一定要转义所有的Inputstring。
这将是一种跨站点脚本攻击,大多数浏览器都会阻止它,除非用户已将其配置为不阻止。
相关文章:
- 将敏感信息传递给iframe的安全方式
- 如何应对iframe安全问题
- 将消息从主 http 页面发送到 https iframe 时的安全注意事项
- 包含第三方 iFrame 的安全风险
- 防止 iframe 安全问题
- 在跨域中创建安全的iframe
- 要停止ClickJacking,哪一个更安全?突破iframe与X-Frame-Options拒绝或同源
- 绕过iframe跨域安全
- 黑客嵌入iFrame的安全风险
- 如何在iframe中显示不安全的内容
- QtWebEngine:“;不允许加载本地资源“;对于iframe,如何禁用web安全
- 书签&来自不同安全域的iFrame上的导航
- 在iframe中呈现安全内容
- 确定Iframe是否处于安全来源以允许“;强大的功能”;
- 清理用户提交的HTML,但保持安全嵌入的iframe
- 哪个更安全——iframe还是CORS——用于创建嵌入第三方网站的小部件
- 是“iframe沙盒”技术安全
- Facebook Iframe应用程序-提示安全内容,虽然我已经安装了SSL
- 使同一域iframe安全
- Chrome扩展中Iframe的不安全Javascript访问