iFrame - 在URL中有详细信息是否存在安全风险?

时间:2013-11-29 14:03:14

标签: html security iframe

我不想提及的公司希望我们使用包含用户信息的URL填充iFrame。此信息将用于预填充iFrame中的表单。这是一个安全风险,因为可以在源中查看详细信息。详细信息是名字姓氏,地址等。该网站始终使用SSL ...如果有帮助

以下是网址:

https://moomooooo/dd.ehtml?user_id=5876745
&fname=vghfhfh
&lname=fhfghf
&title=MR
&gender=M
&dateOfBirth=03
&monthOfBirth=10
&yearOfBirth=1946
&housenum=233
&street=fghfhfghfg
&town=fhfghfgh
&postcode=S5g%207r4
&yearsAtAddress=07
&email=fghfg876jjfwdsdasd@gmail.com
&phone=447545555577540555721

2 个答案:

答案 0 :(得分:1)

如果您使用的是HTTPS,URL parameters will be crypted too理论上没有人能够看到它们。这就是说,您可能最好使用id或令牌打开带有url的iframe并让iframe在初始化期间加载它的正确内容,在URL中存储敏感信息永远不会好(最后一个可以存储在浏览器历史记录中)

答案 1 :(得分:-1)

这种传递参数的方式本身并不存在风险,但这允许攻击者通过许多攻击向量进行测试。

我将尝试的攻击将是跨站点脚本(在受害者计算机中执行JS代码),访问其他用户信息,SQL注入,执行SSL Strip并嗅探获取此信息的受害者流量,仅举几例。

我的建议是你要么以某种方式在你的SESSION中传递它,在数据库中填充这些字段,以便通过哈希访问它们,或者至少通过POST传递它们。