在内容共享网站中,允许<iframe>标记始终是安全的。我在StackOverflow上读到了关于这个主题的一些答案。但它让我很困惑。
This answer here表示,只要src的{{1}}不是来自父网站的域名,就可以允许<iframe>个代码。
但是this one here声明它不好并且允许<iframe>标记使网站容易受到攻击。它说'iframes可以将网站链接到色情......这样的东西“。但垃圾邮件不是我的问题。
我在问这个<iframe>标签是否可用于执行真正的XSS攻击(不是垃圾邮件或链接到色情内容),就像他们使用<iframe>标签一样?我应该将<script>列入黑名单吗?