Com*_*ode 6 security iframe credentials
除了所有其他典型的安全最佳实践,我对此感到疑惑,因为我最近阅读了一些文章,讨论浏览器扩展如何监视用户所做的任何事情.所以我们不应该相信他们.
因此,为了给用户和额外的保护层,我应该在网页内的iframe中处理所有用户的凭据和敏感信息吗?
浏览器扩展可以读取/监视沙盒 iframe 内的内容吗?
是的
我可以使用 iframe 来保护用户凭据吗?
快速回答,不。
当用户安装 Chrome 扩展程序时,该扩展程序基本上可以在网站中执行任何操作来访问用户凭据。该扩展程序还可以访问页面生成的 iframe。
我提出的解决这两个问题并保持网站“安全”的解决方案如下:
如果最终目标是保护用户将在网站中放置的内容,并且您绝不想让用户在页面中运行其他类型的扩展程序时放置内容,那么您可以放置某种类型的扩展程序在页面中弹出,阻止用户访问,直到他访问没有扩展程序的网站。
您可以向用户建议的另一个解决方案是进入隐身模式,因为有很多选项可以禁止隐身模式下的扩展,而不必强迫他卸载浏览器上的所有扩展。这也可能会让更少的用户离开您的页面,就好像您强迫他卸载浏览器上的扩展程序一样,如果对他来说没有足够明确的理由,可能会让他离开您的页面。
如果您确实知道哪些扩展程序不应被阻止或阻止,因为它们有害或已知具有某种可疑行为,您可以做的是检查用户是否使用此解决方案安装了它们。安装了某些扩展,然后向他打印一条消息,说明他必须卸载这些扩展才能继续。