https://github.com/OfficeDev/office-js-docs/blob/master/docs/develop/privacy-and-security.md#tips-to-prevent-clickjacking处的文档 通过让用户在执行潜在危险操作之前进行确认,列出了一系列有助于防止点击劫持的方法。
我想知道在调用Office.initialize之前,在页面上根本不渲染任何UI是否安全?或者有没有办法让攻击者在我们的页面上iframe我的加载项,并以某种方式用恶意版本替换Office SDK?
答案 0 :(得分:0)
是的,恶意攻击者可能会尝试模拟加载项运行时。最好确保用户按照最佳实践中的描述确认敏感操作。如果您的加载项要求用户登录,那么这是获取有助于缓解的用户输入的一种方式。