标签: security iframe upload hidden
我通过将表单目标设置为页面上不可见的iFrame来将文件上传到我的服务器。在上传按钮单击处理程序本身中创建和删除iFrame(通过设置超时)。
我有什么理由不使用iFrame吗?我问,因为我只听说过iFrames的坏事。我喜欢它通过不重新加载页面使整个上传过程看起来的方式。
那么我应该担心哪些安全问题?
谢谢,
阿布舍克巴克
答案 0 :(得分:0)
IFrame用于XSS(跨站点脚本)攻击。
请参阅:
http://www.computeruser.com/tutorials/iframe-injection-attack-is-most-common-and-most-basic-cross-site-scripting-xss-attacks.html
https://www.owasp.org/index.php/Cross_Frame_Scripting