允许用户将我的网页嵌入iframe有什么风险?

时间:2015-03-06 03:07:04

标签: html security iframe browser

我想通过自己提供代码,允许用户在iframe中嵌入我网站页面的特定部分。这个页面只是为了向我的网站所针对的观众展示一些有趣的内容。我不知道其他任何方式,但给他们这样的代码:

<iframe src='A' width='B' height='C' frameborder='D'></iframe>

其中'A'是iframe和'B'中嵌入的页面,'C'和'D'是可选参数,因此用户可以执行一些自定义。

'A'不是用户获取代码的页面。 “A”是某些用户最终希望嵌入其网站的页面的克隆。简单来说,“A”只是该页面的部分 ...在完整不同的页面中。

但我不知道对我来说会有什么样的风险,如果有的话。或者,如果有另一种方法来接近我想要的东西。或者如何允许用户只嵌入该页面而不是其他页面。

我正在做什么,或者我在这里缺少一些基本的安全性东西?

1 个答案:

答案 0 :(得分:0)

浏览器非常依赖于iframe中可以使用来自不同来源的来源访问的内容。他们无法访问嵌入页面中的任何DOM对象,url或js。

您可以使用http标头锁定可以放入iframe的页面。

您不想要iframed的页面 X-Frame-Options: DENY

您只想要iframed的页面 X-Frame-Options: SAMEORIGIN

您只想要某个uri所照片的页面(Chrome,Opera不支持) X-Frame-Options: ALLOW-FROM uri

来源 https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options