Problemi di sicurezza con iframe

4

Ci sono dei problemi di sicurezza di cui dovrei essere a conoscenza, se voglio dare agli utenti la possibilità di incorporare iframe (per cose come i video di Youtube) nei loro contenuti generati sul mio sito. Il contenuto generato dall'utente è modificabile da loro, quindi non posso controllare le opzioni iframe come sandbox (anche se potrei essere in grado di fare un controllo sul contenuto quando si tratta del server e inserire le opzioni appropriate lì).

Se ci sono dei rischi, sto pensando a

  1. verifica il dominio dell'iframe inserito e consente solo domini selezionati come Youtube.

o

  1. consente solo a un gruppo selezionato di utenti fidati di aggiungere iframe nel loro contenuto.

Grazie.

    
posta erosenin 19.10.2014 - 08:59
fonte

2 risposte

3

Le regole sull'ereditarietà dell'originale per iframe impediranno l'accesso al contenuto malevolo all'interno di un iframe DOM del genitore.

Se si consente il controllo sensibile, come le pagine amministrative da inserire in un iframe, si espone l'applicazione a clickjacking . Di conseguenza, la maggior parte delle applicazioni che supportano la sicurezza non consentono gli iframe con x-frame-options .

Gli iframe possono essere un vettore per XSS se non si utilizzano servizi igienico-sanitari adeguati: <iframe src='javascript:alert(1)'> </iframe>

    
risposta data 19.10.2014 - 18:09
fonte
1

Tra le due scelte, il controllo del dominio è probabilmente migliore non per ragioni tecniche, ma per ragioni sociali: tu (probabilmente) non vuoi che alcuni utenti siano "più uguali" di altri.

Puoi iniziare con un breve elenco di domini approvati e pendere per i tentativi di approvazione che non sono nella lista? Ciò ti dà la possibilità di costruire la tua lista "approvata" relativamente senza dolore.

    
risposta data 19.10.2014 - 10:46
fonte

Leggi altre domande sui tag