包含第三方iFrame的安全风险

时间:2013-10-16 15:15:33

标签: javascript security

包含隐藏的第三方iFrame有哪些应用程序安全风险?

如果我理解正确......

  • 点击顶起对我来说不是问题,因为我拥有父页面
  • 同源策略阻止3p帧与我的dom / cookies / js进行交互
  • 框架已隐藏,因此我不必担心框架中可能显示的任何内容

但是我在Chrome控制台中做了一些实验......

  • 3p框架可以调用警报/提示等内容
  • 3p帧可以通过location.href
  • 重定向父级
  • 3p帧内的恶意软件(java / flash / activeX)可能会感染我的用户

我很想看到可能出现的问题和缓解措施的清单,但我找不到很好的信息来源。

那么......包含隐藏的第三方iFrame有哪些应用程序安全风险?

1 个答案:

答案 0 :(得分:1)

如果您要在自己的网站上实施iframe,则可以使用HTML5'iframe中的sandbox标记来阻止您/您网站上的其他人。

来源:http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

我不知道它的效果如何(沙箱功能),但它声明它可以限制iframe中的脚本,表单等。

<iframe sandbox="" src="www.example.com"/>

虽然不是一种有保证和有效的方法,但它是众多不同方法之一。但是,在您的最后,您可以使用NoScript等附加组件来阻止某些/所有脚本运行。

正如你所说,第三方iframe可能会使用诸如下载驱动,浏览器漏洞等攻击来获取对操作系统的访问权限,甚至更多。

另见:Why are iframes considered dangerous and a security risk?

希望这有帮助。