案例:
我正在开发一个客户端网站,该网站向用户显示iframe,并且网址不在我的控制范围内或与我的域不同
例如
我的域是https://example.com,而iframe的域是https://random.app.example.com。其他域内容由随机用户处理
我做了什么:
所以为了阻止滥用,我将这样的iframe沙盒化了
sandbox="allow-scripts allow-same-origin allow-forms"
根据我的研究和知识,这么多的沙箱操作为iframe提供了足够的功能,但不足以利用父网站。
我很快就整理好了东西,所以我可能错过了
实际问题:
所以只是要确保我想知道这种方法是否还有任何威胁,还请提及克服威胁的解决方案
欢迎任何建议,请帮忙?