kat*_*son 7 security iframe cors
我有一个通用的问题,我试图获得一些信息.
我有一台服务器,在这台服务器上我有一个提交API的webform.
第三方公司有一台服务器,他们需要托管我的表格.因此,他们将我的表格IFrame放入他们的页面.
第三方公司是否有可能获得输入iframe中包含的表单的数据?他们的Apache日志会记录数据吗?他们可以在服务器上做些什么来帮助他们获取数据吗?
我的服务器是安全的,它不会允许CORS或任何此类.问题是他们是否可以做任何事情来获取输入的数据?
没有,因为它不是在他们的领域则不能访问iframe的内容.
是的,他们可以欺骗用户窃取输入:显示看起来像你的iframe但由他们控制的东西,或者使用Clickjacking.
而且,如果他们使用http,即使你的iframe使用https,攻击者也可以这样做并窃取他们的数据.