I siti dannosi possono utilizzare i dati di sessione dagli iframe?

1

Diciamo che ho effettuato l'accesso al mio sito Genuine Site . Malicious Site ha un iframe che incorpora Genuine Site . L'iframe incorporato in Malicious site avrà accesso alle mie credenziali di accesso da Genuine Site che ho effettuato l'accesso, in un'altra scheda?

L'utente non ha conoscenza dell'iframe nascosto in Malicious Site . È un DOM nascosto.

Se ciò è possibile, Malicious Site può ora inviare richieste programmatiche con credenziali appropriate poiché l'iframe ha accesso ai dati della sessione. Come dovrei rettificare questo problema?

    
posta Souradeep Nanda 20.03.2018 - 05:26
fonte

1 risposta

5

No. Un sito dannoso non può interagire con i suoi iframe che puntano ad altri domini. Può solo emettere richieste GET e POST senza leggere le risposte corrispondenti, come qualsiasi altra pagina web aperta nello stesso browser. Un attacco fattibile sarebbe invece clickjacking .

Questa domanda è un possibile duplicato della domanda Javascript e stessi iframes di origine .

    
risposta data 20.03.2018 - 06:55
fonte

Leggi altre domande sui tag