Угрозы безопасности iFrame от встраивания хакером
В моем приложении ( http://www.example.com/) я использую iFrame ( https://www.example.com/iframe-application).
Главная страница (www.example.com) отображает только пользовательские данные на основе файлов cookie, установленных iFrame. В iFrame есть все смарты, Javascript, безопасные файлы cookie и т. Д. В iFrame НЕТ текста, изображений и т. Д., Только код javascript.
Есть ли риск, что кто-то встроит iFrame в другой сайт и получит доступ к безопасным файлам cookie, токенам для входа и т. Д.?
2 ответа
По умолчанию файлы cookie привязаны к имени домена, поэтому в обычном случае это невозможно.
Если вы получили XSS Vuln. на вашем сайте он может получить доступ к cookie-файлам, поэтому лучше не указывать все входные строки.
Это будет атака с использованием межсайтовых сценариев, и большинство браузеров предотвратит ее, если пользователь не настроил ее.