我们最近有一个场景,其中服务器A上的iframe片段指向服务器B上的url。在某些客户端上,服务器A安装了一些恶意软件。这个iframe可以成为原因。正如黑客在iframe的src中注入了他的网址。什么可以替代iframe等。
答案 0 :(得分:4)
您很有可能遇到XSS
答案 1 :(得分:2)
如果黑客能够更改您网站上iframe指向的网址,那么iframe不是问题,您的代码就是。
任何网站都可以提供恶意软件,但您已经指出黑客攻击了您的网站并更改了iframe的src属性,而不是提供iframe内容的网站。即使你用其他东西替换了iframe,攻击者设法获取用于生成页面的网站后面的数据这意味着他们不能将自己限制在iframe中,而是嵌入其他策略,例如重定向,或者由javascript或任何其他类型的常见讨厌点击的隐藏链接。
答案 2 :(得分:2)
通常,由于跨域脚本限制,其内容来自不同域的IFrame无法访问父网站的DOM。有很多错误涉及浏览器没有正确实现这些限制,因此可能是一个过时的客户端浏览器。
答案 3 :(得分:0)
除非你在iFrame中运行代码,你真的不应该这样做,否则禁止iFrame运行任何代码是个好主意。