Tengo un sitio web que dice www.example.com.
Incluyo un iframe en www.example.com que carga otra página (por ejemplo, evil.example.net).
¿Qué puede hacer el propietario de evil.example.net para atacar www.example.com?
Su principal preocupación será el código malicioso de JavaScript, actionscript (flash), Adobe Acrobat y Java Runtime. Estas son todas las superficies de ataque web que se pueden explotar para infectar a alguien a través de complementos de navegador (fuera de fecha).
El problema que está describiendo es exactamente lo que sucede cuando un sitio popular distribuye anuncios por correo de manera accidental
Por defecto, los iframes y la página web que los contiene son completamente independientes y separados. Ni el documento principal ni el iframe tienen acceso al DOM, a los estilos CSS o a las funciones de JavaScript si no son del mismo dominio.
Sin embargo, tenga en cuenta que los iframes de dominios cruzados aún tienen la capacidad de activar alertas, ejecutar complementos (¿maliciosos?), videos de reproducción automática y presentar formularios susceptibles de envío de correos electrónicos en un intento de falsificar información de los usuarios.
Afortunadamente, la capacidad de restringir iframes es compatible con IE (v10 +), Firefox, Chrome y Safari. Se llama el atributo caja de arena . Con este conjunto de atributos, el documento dentro del iframe no puede hacer nada de lo siguiente, incluso si es del mismo origen:
Consulte aquí para ver ejemplos y más información: enlace
Lea otras preguntas en las etiquetas iframe