从第3方加载文档的iframe上sandbox="allow-same-origin"的安全风险到底是什么?
在这里和其他地方,我已经读了很多答案,解释了它的作用;它允许第三方站点访问第三方站点的资源。它根本不允许访问主机(在许多地方都错误地声称)。
那么安全隐患是什么?
参考文献:
接受的答案错误地声称
allow-same-origin允许访问主机:Is it safe to have sandbox="allow-scripts allow-popups allow-same-origin" on <iframe />?
包含第三方iframe的安全风险
答案说,使用沙箱很好,那么
allow-same-origin仍然会有风险吗?
答案 0 :(得分:0)
如果没有此操作,则嵌入iFrame的您的页面可以访问iFrame的contentWindow.document(并且only if位于同一来源,或者嵌入了{{1} })。尽管您可以在您的页面上控制JS,但这是我设法找到此答案的唯一风险。