网站内的iframe会对网站构成威胁吗?该如何防止?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了网站内的iframe会对网站构成威胁吗?该如何防止?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1647字,纯文字阅读大概需要3分钟。
内容图文
![网站内的iframe会对网站构成威胁吗?该如何防止?](/upload/InfoBanner/zyjiaocheng/236/ff1bd79638a4486c9b2a796b5ee917c2.jpg)
如果有威胁,该如何防止?
例如新浪微博的站内应用,他们是如何防止 iframe 内的网站获得用户信息的?
希望能得到你们的解答!谢谢!
回复内容:
如何防止来自iframe 内未知网站的安全威胁?
如果有威胁,该如何防止?
例如新浪微博的站内应用,他们是如何防止 iframe 内的网站获得用户信息的?
希望能得到你们的解答!谢谢!
@沙渺 还是存在威胁的,iframe的窗口可以替换顶级的窗口路径,从而实现跳转页面,造成钓鱼攻击的危险。
在HTML5标准之前,没有很好的解决办法。
HTML5定义了iframe的沙盒属性,可以选择性白名单iframe的功能。
具体实现:http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/
在内容提供方的服务器没有做出明确授权的条件下,javascript的跨域请求是所有浏览器所禁止的,没有任何商量的余地。
这一点上和iframe里外并没有任何关系。外边污染里边,里边窥探外边,或iframe之间交叉产生关联……只要跨域,都不允许。
所有的安全说来说去就基于这一条。iframe里外两个网页,其实在浏览器的安全系统中,与两个标签页并列,并没有什么区别。
浏览器不是有同域限制的么?
如果两个页面的一级域名不同,那iframe里的页面怎么能控制外部页面呢?
当然,如果两个页面只是二级域名不同,比如a.segmentfault.com和b.segmentfault.com之间,可以通过JS将两个页面的document.domain设置为一样的,
document.domain=segmentfault.com;
这样两个页面的JS可以互相调用。这种特性可以用来在一个一级域名下的两个二级域名之间做跨域请求。
但是如果一级域名不一样,是没有直接控制的可能的,浏览器直接就给返回错误了,怎么产生威胁的呢?
不同源的情况下,iframe 顶多获取外部页面的 URL,其他东西都获取不了。所以要确保 URL 里面别写太隐私的东西。
就我目前的经验来看,iframe只要是跨域,你是拿它没办法的,连onclick事件都绑定不了,别说操作父页面DOM了,当然如果没有跨域,iframe是完全可以操作父页面or子页面的
内容总结
以上是互联网集市为您收集整理的网站内的iframe会对网站构成威胁吗?该如何防止?全部内容,希望文章能够帮你解决网站内的iframe会对网站构成威胁吗?该如何防止?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。