我的网站管理员在我想要在我的网站上展示的ssl网站上有一个在线商店。他说这可以用iframe来完成。在这个商店使用iframe是否有任何安全风险,例如中间人攻击?或者这对使用它的任何客户是否安全,因为原产地受到保护?
答案 0 :(得分:1)
虽然理论上iFrame在其自己的环境中安全加载,但它们存在一些安全问题,包括:
它们可用于ClickJacking攻击。例如,一个网站在iframe中加载另一个网站,然后在iframe上面浮动用户名和密码文本框,这样人们就会认为他们正在将这些文本框输入到iframe的网站中,而事实上它们并非如此。
很难看到iframe正在加载的网站。例如,您加载badbank.com框架,使其看起来与goodbank.com完全一样。用户不知道哪个域已加载,因为没有地址栏或绿色挂锁。
一般情况下,建议网站使用X-Frame-Options或内容安全策略HTTP标头来阻止框架,以防止框架。
对于像你这样的网站进行框架(而不是被框架),你因此会冒着用户的风险。因此,如果您的网站被黑客入侵,那么这可能会导致上述问题。此外,我曾经在几个网站上工作,当框架网站使用上面的标题阻止它被框架时,框架突然断裂。这在您的网站上看起来很糟糕。
最后,框架打破了使用网络的一些基本方式(例如后退按钮)。
总而言之,我会提醒iFrames。