背景:我有一个主要通过HTTP提供的Web应用程序example.com,example.com / faq等都是通过HTTP提供的。这些页面提供有关应用程序的公共信息,然后当用户登录时,它们会转到https://example.com/account。 / account页面始终通过SSL(HTTPS)提供服务。注意:我可以通过HTTPS提供所有服务,但延迟较慢并且会损害用户体验。
THE IFRAME:这里是iframe的用武之地./ account页面使用安全cookie来存储用户数据(会话ID,用户名,用户评分,最新用户操作),我想让这些cookie保持最新状态时间(即使用户在HTTP页面上)。所以,我在所有指向https://example.com/account/update的HTTP页面上嵌入了1px隐藏的iframe,其中包含以下内容:
<html>
<head>
<title>
KEEP APP UPDATED
</title>
<script>
(Include jQuery)
setInterval(function(){$ajax('https://example.com/account/update/latest-user-data')}, 5000);
<script>
</head>
<body>
</body>
</html>
我应该注意,为了允许这个iframe,我需要在我的服务器上为此页面禁用X-FRAME-OPTIONS。
问题:这有什么安全问题吗?点击劫持主要威胁?更重要的是,攻击者是否可以访问这些安全cookie或访问iframe中运行的iframe Javascript变量等?