Jus*_*siR 1 javascript security dom frames
我理解禁止iframe访问顶部窗口的原因,但另一方面似乎有点不必要并限制创新应用程序.
能够访问子窗口中的内容实际上更危险,因为顶部窗口是"在控制中"(即,顶部窗口选择在iframe中显示哪个页面).从技术上讲,这两种威胁都是相同的,但如果恶意网站可以托管自己的iframe,而不是希望它嵌入目标网站,那么它就会变得容易得多.
通过在跨域时阻止对内容的访问,它可以防止整个XSRF和XSS攻击.例如,如果我运行的是恶意网站,我可以简单地将隐藏的iframe放在我的页面上几十个热门网站,无论是社交网络,电子邮件,财务等等.如果您已经对其中任何一个进行了身份验证,您的浏览器会发送您的会话Cookie,即使在iframe中也是如此,iframe将提供具有安全内容的经过身份验证的页面.
如果父窗口可以抓取子窗口或将新JavaScript注入要执行的子窗口,这显然非常糟糕.
| 归档时间: |
|
| 查看次数: |
238 次 |
| 最近记录: |