Il mio sito web ha un iframe utilizzato per caricare i siti Web dei miei clienti (solo 5). Come posso assicurarmi che l'iframe sia sicuro? Anche modificando iframe src Permette di caricare qualsiasi altro sito web. Come posso impedirlo?
Il mio sito web ha un iframe utilizzato per caricare i siti Web dei miei clienti (solo 5). Come posso assicurarmi che l'iframe sia sicuro? Anche modificando iframe src Permette di caricare qualsiasi altro sito web. Come posso impedirlo?
Non c'è modo di dettare come un cliente sceglie di eseguire l'HTML / JavaScript che fornisci. Questo non dovrebbe mai essere un problema di sicurezza. Se stai caricando questo iframe src basato su una variabile GET, allora questo è XSS: http://site?iframe_src=javascript:alert(document.cookie) . In questa condizione un utente malintenzionato può introdurre JavaScript nella sessione di un altro utente, e questa è una preoccupazione di sicurezza seria .
Se un sito può essere inserito in un iframe, è vulnerabile a ClickJacking . Ciò non espone il sito padre che ospita l'iframe, ma qualsiasi sito è soggetto a questo tipo di manipolazione. Esistono modi per attenuare il ClickJacking per i siti che devono essere frame .
Leggi altre domande sui tag html web-application appsec