Недавно у нас был сценарий, в котором фрагмент iframe на сервере A указывал на url на сервере B. Были некоторые malwares, установленные сервером A на некоторых клиентах. Может ли этот iframe быть причиной. Как и в хакере, он вводил свой url в src iframe. Какие могут быть альтернативы Iframe и т.д.Вопросы безопасности Iframe
Скорее всего, вы испытали XSS
Если хакер может изменить ссылки прекращается через точки IFrame, чтобы на вашем сайте, то IFrame не проблема, ваш код.
Любой веб-сайт может обслуживать вредоносное ПО, но вы указали, что хакер атаковал ваш сайт и изменил атрибут src iframe, а не сайт, обслуживающий содержимое iframe. Даже если вы заменили iframe чем-то другим, то тот факт, что злоумышленник смог получить данные за вашим веб-сайтом, используемым для создания страницы, означает, что они не могут ограничивать себя iframes, но вставляют другие тактики, такие как перенаправление, или скрытая ссылка, на которую щелкнул javascript или какой-либо другой тип скверны.
Как правило, IFrame, содержимое которого поступает из другого домена, не может получить доступ к DOM родительского веб-сайта - из-за ограничений на использование сценариев перекрестных доменов. Было много ошибок, связанных с тем, что браузеры не применяют такие ограничения должным образом, поэтому причиной может быть устаревший клиентский браузер.
Как можно больше, как и все остальное. – EFraim
Если вы не запускаете код внутри iFrame, которого вам действительно не должно быть, было бы неплохо отключить iFrame от запуска любого кода.
Неуверенный, почему я был отмечен, так как это чрезвычайно здравый совет. Он не упоминал, какие языки он использовал, поэтому я действительно не мог сказать ему, что делать. – Sneakyness
AFAIK, нет надежного способа, чтобы главная страница указывала браузеру: «Не запускайте JavaScript в этом iframe». HTML5 определяет атрибут sandbox, который делает это (и некоторые другие вещи), но многие браузеры, которые работают в эти дни (конец ноября 2012 года), пока не поддерживают. Может быть, вы должны объяснить, что вы подразумеваете, отключив код от запуска. Если я правильно вас читаю, сегодня нет практического способа сделать это. – allyourcode
, так что вы хотите сказать, что они получили доступ к серверу A? – Rakesh
Хорошо, вот что вы сказали - («) хакер ввел свой url в src iframe». Если, как вы говорите, атрибут src на iframe указывает на сайт злоумышленников, тогда я бы посмотрел на ваш код. – blowdart