Diciamo che ho effettuato l'accesso al mio sito Genuine Site
. Malicious Site
ha un iframe che incorpora Genuine Site
. L'iframe incorporato in Malicious site
avrà accesso alle mie credenziali di accesso da Genuine Site
che ho effettuato l'accesso, in un'altra scheda?
L'utente non ha conoscenza dell'iframe nascosto in Malicious Site
. È un DOM nascosto.
Se ciò è possibile, Malicious Site
può ora inviare richieste programmatiche con credenziali appropriate poiché l'iframe ha accesso ai dati della sessione. Come dovrei rettificare questo problema?