恶意网站可以使用来自iframes的会话数据吗？

Question

假设我已经登录到我的网站Genuine Site。Malicious Site有一个iframe嵌入Genuine Site。Malicious site中嵌入的iframe是否可以访问我在另一个选项卡中登录的Genuine Site登录凭据？

用户对隐藏在Malicious Site中的iframe一无所知。这是个隐藏的DOM。

如果可能的话，Malicious Site现在可以通过编程方式发出具有适当凭据的请求，因为iframe可以访问会话数据。我该如何纠正这个问题呢？

Answer 1

不是的。恶意站点无法与指向其他域的iframes交互。它只能发出GET和POST请求，而不读取相应的响应，就像在同一个浏览器中打开的任何其他网页一样。一个可行的攻击应该是敲击。

这个问题可能是Javascript和相同原点iframes问题的重复。