包含第三方iFrame的安全风险

Question

包含隐藏的第三方iFrame有哪些应用程序安全风险？

如果我理解正确的话......

• 点击顶起对我来说不是问题,因为我拥有父页面
• 同源策略阻止3p帧与我的dom/cookies/js交互
• 框架是隐藏的,所以我不必担心框架中可能显示的任何内容

但是我在Chrome控制台中做了一些实验并且......

• 3p帧可以调用警报/提示等内容
• 3p帧可以通过location.href重定向父
• 3p帧内的恶意软件(java/flash/activeX)可能会感染我的用户

我很想看到可能的问题和任何缓解措施的清单,但我找不到一个好的信息来源.

那么......包含隐藏的第三方iFrame的应用程序安全风险是什么？

Answer 1

如果您要在网站上实施 iframe，您可以使用sandboxHTML5 iframe 中的标签来阻止您自己/其他人访问您的网站。

资料来源：http ://www.whatwg.org/specs/web-apps/current-work/multipage/the-if​​rame-element.html#attr-iframe-sandbox

我不知道它有多有效（沙箱功能），但它声明它可以限制 iframe 内的脚本、表单等。

<iframe sandbox="" src="www.example.com"/>

虽然不是一种有保证且有效的方法，但它是许多不同方法中的一种。不过，您可以使用 NoScript 等附加组件来阻止某些/所有脚本运行。

正如您所说，第 3 方 iframe 可能会利用诸如偷渡式下载、浏览器漏洞等漏洞来访问您的操作系统，甚至可能进行更多操作。

另请参阅此处：为什么 iframe 被视为危险且存在安全风险？

希望这可以帮助。