¿Cómo puedo verificar si el iframe en mi sitio web es seguro o no?

3

Mi sitio web tiene un iframe utilizado para cargar los sitios web de mi cliente (solo 5). ¿Cómo puedo asegurarme de que el iframe esté seguro? También editando iframe src Permite cargar otros sitios web. ¿Cómo puedo evitarlo?

    
pregunta Harikrishnan 01.08.2013 - 10:22
fuente

1 respuesta

3

No hay forma de dictar cómo un cliente elige ejecutar el HTML / JavaScript que usted proporciona. Esto nunca debe ser un problema de seguridad. Si está cargando este iframe src basado en una variable GET, entonces esto es XSS: http://site?iframe_src=javascript:alert(document.cookie) . En esta condición, un atacante puede introducir JavaScript en la sesión de otro usuario, y esto es un problema de seguridad serio

Si se puede colocar un sitio dentro de un iframe, entonces es vulnerable a ClickJacking . Esto no expone el sitio principal que aloja el iframe, sino que cualquier sitio está sujeto a este tipo de manipulación. Hay formas de mitigar el ClickJacking para sitios que deben poder encuadrarse .

    
respondido por el rook 01.08.2013 - 17:11
fuente

Lea otras preguntas en las etiquetas