Pericoli di includere iframe nel mio sito web

5

Ho un sito web che dice www.example.com.

Includo un iframe in www.example.com che carica un'altra pagina (ad esempio evil.example.net).

Che cosa può fare il proprietario di evil.example.net per attaccare www.example.com?

    
posta Chip 14.10.2016 - 11:59
fonte

2 risposte

1

La tua preoccupazione principale sarà il javascript dannoso, il codice ActionScript (Flash), Adobe Acrobat e Java Runtime. Queste sono tutte le superfici di attacco web che possono essere sfruttate per infettare qualcuno tramite plug-in del browser (non aggiornato).

Il problema che stai descrivendo è esattamente ciò che accade quando un sito popolare distribuisce accidentalmente annunci pubblicitari dannosi

    
risposta data 14.10.2016 - 12:08
fonte
0

Per impostazione predefinita iframes e la pagina Web che li contiene sono completamente indipendenti e separati. Né il documento principale né l'iframe hanno accesso agli altri DOM, stili CSS o funzioni JavaScript se non provengono dallo stesso dominio.

Tieni presente che gli iframe tra domini possono ancora attivare avvisi, eseguire (dannosi?) plug-in, riprodurre automaticamente video e presentare moduli di invio per tentare di riprodurre le informazioni degli utenti.

Per fortuna, la possibilità di limitare gli iframe è supportata da IE (v10 +), Firefox, Chrome e Safari. Si chiama l'attributo sandbox . Con questo attributo impostato, il documento all'interno dell'iframe non può eseguire nessuna delle seguenti operazioni, anche se proviene dalla stessa origine:

  • Esegui qualsiasi JavaScript
  • Modifica l'URL del genitore
  • Apri finestre popup, nuove finestre o nuove schede
  • Invia moduli
  • Esegui plug-in
  • Usa il blocco del puntatore
  • Leggi i cookie o la memoria locale dal genitore

Vedi qui per esempi e ulteriori informazioni: link

    
risposta data 16.06.2018 - 08:26
fonte

Leggi altre domande sui tag