包含第三方iFrame的安全风险

Question

包含隐藏的第三方iFrame的应用程序安全风险是什么？

如果我正确理解..。

• 单击jacking对我来说不是问题，因为我拥有父页面
• 同源策略防止3p帧交互dom/cookie/js
• 框架是隐藏的，所以我不必担心框架中可能显示的任何内容。

但是我在Chrome控制台做了一些实验..。

• 3p帧可以调用诸如警报/提示之类的内容。
• 3p帧可以通过location.href重定向父帧。
• 3p框架内的恶意软件(java/flash/activeX)可能感染我的用户

我很想看看可能出现的问题和缓解措施的清单，但是我找不到一个好的信息来源。

So...What是包含隐藏的第三方iFrame的应用程序安全风险吗？

Answer 1

如果您在您的网站上实现iframe，您可以使用HTML5‘iframe中的HTML5标记来防止自己/其他人出现在您的网站上。

来源：http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

我不知道它有多有效(沙箱特性)，但它声明它可以在iframe中限制脚本、表单等。

<iframe sandbox="" src="www.example.com"/>

虽然这不是一个保证和有效的方法，但它是许多不同的方法之一。不过，在您的终端上，您可以使用诸如NoScript这样的加载项来防止某些/所有脚本运行。

正如您所说的，第三方iframe可能会使用诸如按下载驱动、浏览器攻击等漏洞来访问您的操作系统，甚至更多。

另见此处：Why are iframes considered dangerous and a security risk?

希望这能有所帮助。