Preocupaciones de seguridad con iframes

Navega tus respuestas
4

¿Debo tener en cuenta algún problema de seguridad si deseo ofrecer a los usuarios la posibilidad de incrustar iframes (para cosas como videos de Youtube) en el contenido generado en mi sitio? El contenido generado por el usuario es editable por ellos, por lo que no puedo controlar las opciones de iframe como el sandbox (aunque podría ser capaz de verificar el contenido cuando se trata del servidor e insertar las opciones correspondientes).

Si hay riesgos, estoy pensando en cualquiera de los dos

  1. verifica el dominio del iframe que se está insertando y solo permite seleccionar dominios como Youtube.

O

  1. solo permite a un grupo selecto de usuarios de confianza agregar iframes en su contenido.

Gracias.

    
pregunta erosenin 19.10.2014 - 08:59
fuente

2 respuestas

3

Las Reglas de herencia de origen para iframes evitarán que el contenido malicioso dentro de un iframe acceda a la DOM del padre.

Permitir que el control sensible funcione, como las páginas administrativas que se colocan dentro de un iframe, expone su aplicación a clickjacking . Como resultado, la mayoría de las aplicaciones conscientes de la seguridad no permiten iframes con el x-frame-options .

Iframes puede ser un vector para XSS si no usa el saneamiento adecuado: <iframe src='javascript:alert(1)'> </iframe>

    
respondido por el rook 19.10.2014 - 18:09
fuente
1

De las dos opciones, verificar el dominio probablemente sea mejor no por razones técnicas, sino por razones sociales: usted (probablemente) no quiere que algunos usuarios sean "más iguales" que otros.

¿Puede comenzar con una lista corta de dominios aprobados y pendiente de intentos de aprobación que no están en la lista? Eso le da la oportunidad de construir su lista "aprobada" de manera relativamente sencilla.

    
respondido por el Bob Brown 19.10.2014 - 10:46
fuente

Lea otras preguntas en las etiquetas

¿Se ha usado alguna vez una contraseña de texto simple en un tribunal de justicia como prueba de un delito? ¿Por qué usar "App Secret" en aplicaciones móviles?