Ho ricevuto una recente recensione sulla sicurezza di un sito Web che menzionava una vulnerabilità di cross-frame scripting. In breve, ha menzionato che un sito dannoso potrebbe caricare la pagina in un iframe, ingannando l'utente a pensare che siano nella pagina legittima per l'applicazione, mentre sovrappone i controlli e tale da raccogliere dati e svolgere altre attività dannose. Ma ho anche sentito che un XFS è quando un attacco XSS viene utilizzato per iniettare un iframe nell'applicazione che punta a un sito dannoso che consente al sito malevolo caricato nel frame di raccogliere dati da quelli che utilizzano l'applicazione e altri malintenzionati attività.
Quindi, sono questi entrambi gli attacchi di cross frame scripting perché entrambi usano iframe come elemento chiave? O è solo il primo attacco a XFS mentre il secondo è considerato una versione di XSS usando iframe?
P.S. Sia XSS che CSRF hanno tag, esiste un motivo per cui XFS non lo fa?