我想向开发人员打开我的小平台,以便他们可以构建可以作为iframe插入我们网站的应用程序。类似于facebook正在做,但不,我不是想建立另一个Facebook :)。根据我的理解,开发人员可以使用iframe构建facebook应用程序。
问题:我想知道从facebook用户的角度来看如何安全性。 Facebook如何阻止应用程序开发人员不将恶意软件javascript代码放入iframe中。我没有注意到任何阻止在iframe中包含类似内容的自动机制。
TNX
答案 0 :(得分:1)
不,这根本不是问题,我想你什么都不担心。
您不需要担心任何安全问题,iframe中加载的页面是沙盒,并且被浏览器“保护”。 两个iframe甚至无法相互通信,因为它们不共享相同的域,如果两个帧具有不同的域,现代浏览器将阻止在另一个帧中执行javascript代码的任何尝试。
facebook所做的是解决这个问题,facebook中的每个iframe应用加载facebook javascript sdk,然后启用嵌套的iframe向facebook发出请求,并在数据返回时通过回调通知。 / p>
对于“通过浏览器攻击用户计算机的iframe中的恶意软件javascript代码”,iframe具有与任何其他浏览器页面一样的浏览器强制执行的安全策略,如果有人设法以某种方式绕过这些策略那么它几乎没有区别在哪里加载,facebook没有执行任何其他安全措施。
你唯一需要担心的是,iframe中的脚本将能够访问你的脚本和/或dom,除非你创建一个可以让他们(不知何故绕过跨域策略)的机制,否则这种情况不会发生)。