在我的应用中http://www.example.com)我正在运行iFrame(https://www.example.com/iframe-application)。
主页面(www.example.com)仅根据iFrame设置的Cookie呈现自定义数据。 iFrame拥有所有智能,Javascript,安全cookie等.iFrame没有文字,图片等只有javascript代码。
是否存在任何人将iFrame嵌入其他网站并访问安全Cookie,登录令牌等的风险?
答案 0 :(得分:1)
默认情况下,cookie绑定到域名,因此在正常情况下,这是不可能的。
如果你有一个XSS Vuln。在您的网站上,他可以访问cookie,所以请务必逃避所有输入字符串。
答案 1 :(得分:0)
这将是一个跨站点脚本攻击,大多数浏览器都会阻止它,除非用户没有配置它们。