我有一个通用的问题,我试图获得一些信息。
我有一台服务器,在这台服务器上我有一个提交API的webform。
第三方公司有一台服务器,他们需要托管我的表格。因此,他们将我的表格IFrame放入他们的页面。
第三方公司是否有可能获取输入iframe中包含的表单的数据?他们的Apache日志会记录数据吗?他们可以在服务器上做些什么来帮助他们获取数据吗?
我的服务器是安全的,它不会允许CORS或任何此类。问题是他们是否可以做任何事情来获取输入的数据?
答案 0 :(得分:6)
否则无法访问iframe的内容,因为它不在其域中。
是他们可以欺骗用户窃取输入:显示看起来像你的iframe但由他们控制的内容,或使用Clickjacking。< / p>
并且如果他们使用http ,即使您的iframe使用https,攻击者也可以执行此操作并窃取他们的数据。