Estoy trabajando para una empresa que desea permitir que cualquiera incruste un iframe en el que los usuarios puedan comprar productos en cualquier sitio. Por lo tanto, sería un caso de uso típico que los usuarios ingresen la información de su tarjeta de crédito en este iframe.
Soy consciente de que el clickjacking es un vector de ataque típico para este tipo de configuración. Sin embargo, parece que ese vector se trata más de inducir a una víctima a hacer clic en un botón dentro de un iframe más que inducirlo a realizar una acción compleja como completar un procedimiento de pago.
Lo que necesito saber antes de sentirme cómodo al implementar este iframe:
- ¿Esta configuración aún es vulnerable al clickjacking?
- ¿Es posible leer la información ingresada en un iframe como este a través de un keylogger o divs invisibles que flotan en la parte superior del iframe?
- ¿Qué otros posibles vectores de ataque hay en una configuración como la que describí?
- ¿Hay consideraciones de seguridad adicionales en las que debería estar pensando?