Se un sito può essere caricato in un iframe, è vulnerabile agli attacchi clickjacking .
Tuttavia, non puoi utilizzare javascript nel tuo sito per modificare il contenuto ed eseguire azioni nell'iframe (questo si applica a domini diversi), a causa del stesso meccanismo di politica di origine . Questo vale in entrambi i modi, uno script caricato nell'iframe non può essere eseguito nel contesto del frame principale.
Tuttavia, potrebbero esserci degli svantaggi nel caricare un altro sito in un iframe. Ad esempio, il tuo sito viene attaccato e viene trovato un XSS persistente. L'utente malintenzionato potrebbe quindi sostituire l'ifbox iframe con uno falso che controlla e raccogliere credenziali / dati utente. Poiché l'utente non può facilmente controllare l'url dell'iframe caricato, phising può essere fatto più facilmente in un iframe.
È anche possibile l'altra versione. Il sito che incorpori nell'iframe viene violato e invece del suo contenuto normale visualizza una pagina web che ricorda un accesso nella tua pagina. Utilizzando questo metodo, le credenziali del tuo sito possono essere raccolte.
Inoltre, il sito incorporato può verificare se è stato caricato in un iframe e saltare fuori da esso (modifica window.location) ed eseguire ulteriori attacchi da lì.
In conclusione, la sicurezza complessiva dipende sia dalla sicurezza del tuo sito
e di quello che incorpori.