Недавно у нас был сценарий, в котором фрагмент iframe на сервере A указывал на url на сервере B. Были некоторые malwares, установленные сервером A на некоторых клиентах. Может ли этот iframe быть причиной. Как и в хакере, он вводил свой url в src iframe. Какие могут быть альтернативы Iframe и т.д.Вопросы безопасности Iframe
ответ
Скорее всего, вы испытали XSS
Если хакер может изменить ссылки прекращается через точки IFrame, чтобы на вашем сайте, то IFrame не проблема, ваш код.
Любой веб-сайт может обслуживать вредоносное ПО, но вы указали, что хакер атаковал ваш сайт и изменил атрибут src iframe, а не сайт, обслуживающий содержимое iframe. Даже если вы заменили iframe чем-то другим, то тот факт, что злоумышленник смог получить данные за вашим веб-сайтом, используемым для создания страницы, означает, что они не могут ограничивать себя iframes, но вставляют другие тактики, такие как перенаправление, или скрытая ссылка, на которую щелкнул javascript или какой-либо другой тип скверны.
Как правило, IFrame, содержимое которого поступает из другого домена, не может получить доступ к DOM родительского веб-сайта - из-за ограничений на использование сценариев перекрестных доменов. Было много ошибок, связанных с тем, что браузеры не применяют такие ограничения должным образом, поэтому причиной может быть устаревший клиентский браузер.
Как можно больше, как и все остальное. – EFraim
Если вы не запускаете код внутри iFrame, которого вам действительно не должно быть, было бы неплохо отключить iFrame от запуска любого кода.
Неуверенный, почему я был отмечен, так как это чрезвычайно здравый совет. Он не упоминал, какие языки он использовал, поэтому я действительно не мог сказать ему, что делать. – Sneakyness
AFAIK, нет надежного способа, чтобы главная страница указывала браузеру: «Не запускайте JavaScript в этом iframe». HTML5 определяет атрибут sandbox, который делает это (и некоторые другие вещи), но многие браузеры, которые работают в эти дни (конец ноября 2012 года), пока не поддерживают. Может быть, вы должны объяснить, что вы подразумеваете, отключив код от запуска. Если я правильно вас читаю, сегодня нет практического способа сделать это. – allyourcode
- 1. Вопросы безопасности безопасности WCF
- 2. Вопросы безопасности с jLinq
- 3. Вопросы безопасности LaTeX
- 4. Вопросы по безопасности API
- 5. Вопросы безопасности Nodejs
- 6. Вопросы безопасности вокруг KSM
- 7. вопросы безопасности с JSON.parse
- 8. Основные вопросы безопасности ASP.NET
- 9. Вопросы безопасности Yodlee
- 10. ClickOnce - Вопросы безопасности
- 11. Вопросы безопасности Spark SQL
- 12. Вопросы безопасности Webservice
- 13. Silverlight. Вопросы безопасности
- 14. пружинные вопросы веб-безопасности
- 15. MySQLi соединения - вопросы безопасности
- 16. роли весной вопросы безопасности
- 17. Вопросы безопасности с HTTP_RAW_POST_DATA
- 18. JMeter случайные вопросы безопасности
- 19. Вопросы безопасности сайта
- 20. Вопросы безопасности BDC
- 21. предотвращение проблема безопасности IFrame
- 22. Ошибка безопасности с iframe
- 23. Вопросы о безопасности потока django
- 24. Вопросы безопасности PayPal REST API
- 25. Вопросы безопасности с Docusign API
- 26. Вопросы безопасности при включении файлов
- 27. Вопросы безопасности приложения для рассмотрения
- 28. Строительство инфраструктуры AWS - вопросы безопасности
- 29. Вопросы безопасности `pip -allow-external`
- 30. PHP и хрон: вопросы безопасности
, так что вы хотите сказать, что они получили доступ к серверу A? – Rakesh
Хорошо, вот что вы сказали - («) хакер ввел свой url в src iframe». Если, как вы говорите, атрибут src на iframe указывает на сайт злоумышленников, тогда я бы посмотрел на ваш код. – blowdart