Ho un sito web che dice www.example.com.
Includo un iframe in www.example.com che carica un'altra pagina (ad esempio evil.example.net).
Che cosa può fare il proprietario di evil.example.net per attaccare www.example.com?
La tua preoccupazione principale sarà il javascript dannoso, il codice ActionScript (Flash), Adobe Acrobat e Java Runtime. Queste sono tutte le superfici di attacco web che possono essere sfruttate per infettare qualcuno tramite plug-in del browser (non aggiornato).
Il problema che stai descrivendo è esattamente ciò che accade quando un sito popolare distribuisce accidentalmente annunci pubblicitari dannosi
Per impostazione predefinita iframes e la pagina Web che li contiene sono completamente indipendenti e separati. Né il documento principale né l'iframe hanno accesso agli altri DOM, stili CSS o funzioni JavaScript se non provengono dallo stesso dominio.
Tieni presente che gli iframe tra domini possono ancora attivare avvisi, eseguire (dannosi?) plug-in, riprodurre automaticamente video e presentare moduli di invio per tentare di riprodurre le informazioni degli utenti.
Per fortuna, la possibilità di limitare gli iframe è supportata da IE (v10 +), Firefox, Chrome e Safari. Si chiama l'attributo sandbox . Con questo attributo impostato, il documento all'interno dell'iframe non può eseguire nessuna delle seguenti operazioni, anche se proviene dalla stessa origine:
Vedi qui per esempi e ulteriori informazioni: link
Leggi altre domande sui tag iframe