Риски безопасности iFrame из-за внедрения хакером

В моем приложении (http://www.example.com) я запускаю iFrame (https://www.example.com/iframe-application).

Главная страница (www.example.com) отображает только пользовательские данные на основе файлов cookie, установленных iFrame. В iFrame есть все возможности, Javascript, безопасные файлы cookie и т. д. В iFrame НЕТ текста, изображений и т. д., только код javascript.

Есть ли риск того, что кто-то встроит iFrame в другой сайт и получит доступ к безопасным файлам cookie, токенам входа и т. д.?


javascript iframe security clickjacking
person Justin Cloud    schedule 09.08.2013    source источник

Ответы (2)


arrow_upward
1
arrow_downward

По умолчанию файлы cookie привязаны к доменному имени, поэтому в обычном случае это невозможно.

Если у вас есть XSS Vuln. на вашем сайте он может получить доступ к файлам cookie, поэтому обязательно избегайте всех входных строк.

person D. Schalla    schedule 09.08.2013

arrow_upward
0
arrow_downward

Это будет атака с использованием межсайтовых сценариев, и большинство браузеров предотвратят ее, если только пользователь не настроил их на это.

person CamHenlin    schedule 09.08.2013
comment
Это будет XSS Vuln. если у сайта есть возможность включать пользовательский контент, чтобы он мог загрузить JS, который отправляет данные cookie в пользовательский скрипт, который их сохраняет. Случай, заданный пользователем, по умолчанию не является проблемой XSS. - person D. Schalla; 10.08.2013
comment
iFrame НЕ будет иметь никаких пользовательских данных, но Родитель БУДЕТ иметь пользовательский ввод. Итак, вы бы сказали, что существует риск только для родительской страницы, но iFrame защищен, даже если злоумышленник поместил iFrame на другую страницу (например, evil.com разместил example.com/iframe-application в iFrame. evil.com НЕ будет иметь доступ к файлам cookie или XSS, верно?) - person Justin Cloud; 10.08.2013
comment
Правильно, как написано в моем ответе. - person D. Schalla; 10.08.2013