作为软件开发人员,提出了一个项目来迁移当前的门户网站应用程序。门户允许用户登录,登录后,用户可以从菜单中选择不同的应用程序。 门户网站应用程序是用.aspx Webforms编写的。菜单中的应用程序也是.aspx Web窗体。一旦加载了应用程序,菜单控件就会随该应用程序一起加载。
提议的解决方案是创建一个新的门户应用程序,并将使用.net核心以及身份进行编写,以提供安全的登录功能并遵守最佳实践等。
正在使用MVC / .net核心/引导程序编写的应用程序,以创建移动优先驱动的环境。一旦用户登录,菜单就会加载一次,而我正在努力寻求一种将应用程序加载到响应性iframe中的解决方案。允许将应用程序加载到iframe中,可以在未来几个月内逐步将Web表单应用程序迁移为MVC格式。
我已阅读有关iframe的综合评论?但是,没有什么真正的证据表明它们可以在内部托管应用程序中安全使用。托管的内部应用程序将允许成员用户登录并查看其特定应用程序。我读过的东西还说是安全的,但没有什么具体的。
我需要找到证据证明iframe在PCI /安全性/点击劫持方面是安全的。为了使包含iframe的.core应用程序尽可能安全,我需要什么?再次重申一次,建议的应用程序门户将在SSL下托管,该SSL将在登录后包含一个iframe,然后将托管的内部应用程序加载到iframe中。 如果我要使用iframe解决方案,那么我该怎么做才能确保一切安全?要成功加载内部应用程序,可以使用iframe作为替代方法。再次阅读所有内容后,我相信div元素将无法正常工作,因为加载的应用程序在不同版本下具有独立的jquery。同样在iframe中,回发过程可以毫无问题地进行。
还有其他建议或意见不胜感激吗?谢谢。
答案 0 :(得分:0)
一般而言,由于same origin policy
,iFrame可以免受客户端脚本攻击因此,如果您想查看它们是否足够安全,可以满足您的需求,我建议您寻找解决此政策的方法。一个快速的谷歌显示this question询问如何解决它。