允许框架的安全隐患?

时间:2010-01-23 00:41:47

标签: iframe security

我注意到当我尝试通过reddit工具栏访问Stackoverflow时,我得到一个弹出窗口,上面写着“出于安全原因,不允许使用框架”。有关示例,请参阅here

这些安全原因究竟是什么?

我意识到这可能是meta的一个问题,但它实际上更像是一个普通的网络安全问题,所以我在这里试一试。

感谢。

3 个答案:

答案 0 :(得分:1)

您可以查看the story on that in here

修改

好的,所以从链接中引用 框架的问题在于它是clickjacking 的第一步。这是如何完成的?你可以拥有一个看似无害的页面,链接上面有一个框架,其中有一个完全透明的框架,经过精心定位,这样当你点击页面的链接时,你将点击框架页面的链接或按钮。虽然您无法看到框架(由于完全透明),但您的点击次数将被捕获。这导致,当用户认为他只是在随机页面上导航时,他可能实际上正在改变他的推特状态,发送电子邮件,在Facebook上做某事,点击付费“是,请全部捐赠”按钮,。 ..想象力是极限。

答案 1 :(得分:1)

保护其用户免受点击攻击。简单来说,点击顶升就像这样:

  • 攻击者托管恶意html文件
  • 此文件使用框架在后台加载“受攻击”网站,并通过在“受攻击”网站上叠加元素,它试图欺骗用户点击他们不想要的内容。
  

如果一个邪恶的网站决定它将构建您的网站,您将被诬陷。期

错误。像stackoverflow这样实现的机制保护网站不被加载到另一个可能的恶意页面内。这样,该网站可以保护其用户免受点击攻击。

  

f就是这样,为什么要这样呢?此外,攻击的目标不一定是被框架的网站,它可以是任何网站。再说一次,为什么还要破坏框架?

该框架用于将“受害者”网站加载到试图诱骗用户的页面中。打破框架意味着该网站阻止了这些可能的点击顶升攻击。或者至少增加一层额外的安全性,因为这些“过滤器”也可以被绕过。

阅读original research paper about click jacking

答案 2 :(得分:0)

显然,如下所示,可能发生点击攻击的可能性很小:

http://dsandler.org/wp/archives/2009/02/12/dontclick

所以我觉得它有点意义,但它非常不方便。