7
votes

Comprendre la sécurité des iframes 3ème partie?

Facebook et d'autres offrent de petits snipplés iframe que je peux mettre sur mon site. Exemple:

<iframe src="http://www.facebook.com/widgets/like.php?href=http://example.com"
        scrolling="no" frameborder="0"
        style="border:none; width:450px; height:80px"></iframe>

security iframe

0 commentaires

3 Réponses :

3
votes

Je sais que la page mère peut accéder à la DOM de l'IFrame. Récemment, nous avons eu un projet au travail où nous avons eu un site qui devait être conforme à 508. L'Iframe n'était pas et bien que les lecteurs d'écran traitent beaucoup mieux les iframes, le contenu de cet iframe n'était pas conforme. Nous avons chargé la bibliothèque de jQuery sur notre site, puis avons également chargé de code sur notre site pour manipuler l'iframe (seulement après la charge de son chargement) et à ce point de mashup le contenu des iframes à accéder.

Pour vous donner une idée de la façon dont nous avons fait C'est ici un échantillon de notre jQuery. (Utilisé beaucoup de trouvailles et remplace mais vous obtenez l'idée, vous pouvez faire d'autres choses.) xxx

});

Bien que je ne le fais pas savoir si vous pouvez à partir de l'accès IFrame, le parent DOM.

2 commentaires

L'accès au parent DOM est l'endroit où je vois la question de la sécurité, je suis d'accord sur l'accès au contenu de l'iframe enfant.

@Winforms non, cela ne devrait pas, car alors un attaquant pourrait mettre un </ code> à gmail et lisez votre email lorsque vous visitez leur site. </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 5<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> En réalité, il existe des règles spécifiques de <a href="http://code.google.com/p/browsersec/wiki/part2#origin_inheritance_rules" Rel="noreferrer"> Héritage pour iFrames </a>. Ceci est mis à part la même politique d'origine, et je vous recommande vivement de lire l'ensemble du manuel Google Browser SEC. </ p> </div> <hr>  <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 1<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Je suppose que l'iframe de domaine croisé puisque vraisemblablement le risque serait plus faible si vous le contrôlez vous-même. </ P> <p> J'ai essayé de comprendre cela moi-même </ p> <ul> <li> ClickJacking / XSS est un problème si votre site est inclus comme iframe </ li> <li> Un iframe compromis pourrait afficher un contenu malveillant (imaginez l'iframe affichant une boîte de connexion au lieu d'une annonce) </ li> <li> Un iframe inclus peut rendre certains appels JS comme alerte et invite qui pourrait gêner votre utilisateur </ Li> <li> Un iframe inclus peut rediriger via l'emplacement.href (Yikes, imaginer un cadre 3P redirigeant le client de Bankofamerica.com à Bankofamerica.fake.com) </ Li> <LI> Les logiciels malveillants à l'intérieur du cadre 3P (Java / Flash / ActiveX) pourraient infecter votre utilisateur </ Li> </ ul> <p> Notez que l'attribut HTML5 "Sandbox" peut résoudre beaucoup de ces problèmes si votre navigateur prend en charge la prise en charge et vous pouvez empêcher que votre site d'être inclus comme iframe ainsi que via des options x-image. </ P> </div> <hr>  <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> </div> <hr> </div> <div class="col-lg-3 col-md-12 col-12 col-sm-12" > <div class="related"> <iframe src="https://rcm-eu.amazon-adsystem.com/e/cm?o=8&p=12&l=ez&f=ifr&linkID=b777da379e25dfc65f34887292b82918&t=birdy0c-21&tracking_id=birdy0c-21" width="300" height="250" scrolling="no" border="0" marginwidth="0" style="border:none;" frameborder="0">

Articles qui pourrait vous intéresser :


                                            
                            Ce code est-il un keylogger? Qu'est ce que ça fait?                        
                        
                                            
                            Quelle est la différence de sécurité entre les clés API et le flux d'informations d'identification client d'OAuth?                        
                        
                                            
                            Quelqu'un essaie-t-il de pirater? Réception de demandes suspectes sur mon serveur Apache2 Ubuntu 18.04                        
                        
                                            
                            Comprendre la sécurisation des jetons d'accès et des jetons d'actualisation



        
            
            
        

    
    
        
            © 2020 www.devfaq.fr - Licensed under  cc by-sa 3.0   with  attribution required.