网站内的 iframe 会对网站构成威胁吗?该如何防止?


如何防止来自iframe 内未知网站的安全威胁?
如果有威胁,该如何防止?
例如新浪微博的站内应用,他们是如何防止 iframe 内的网站获得用户信息的?

希望能得到你们的解答!谢谢!

web web前端开发 api php html5

我只是扎古而已 11 years, 2 months ago

@沙渺 还是存在威胁的,iframe的窗口可以替换顶级的窗口路径,从而实现跳转页面,造成钓鱼攻击的危险。

在HTML5标准之前,没有很好的解决办法。
HTML5定义了iframe的沙盒属性,可以选择性白名单iframe的功能。
具体实现: http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

被封印的ID answered 11 years, 2 months ago

Your Answer