Mi sitio web tiene un iframe utilizado para cargar los sitios web de mi cliente (solo 5). ¿Cómo puedo asegurarme de que el iframe esté seguro? También editando iframe src Permite cargar otros sitios web. ¿Cómo puedo evitarlo?
Mi sitio web tiene un iframe utilizado para cargar los sitios web de mi cliente (solo 5). ¿Cómo puedo asegurarme de que el iframe esté seguro? También editando iframe src Permite cargar otros sitios web. ¿Cómo puedo evitarlo?
No hay forma de dictar cómo un cliente elige ejecutar el HTML / JavaScript que usted proporciona. Esto nunca debe ser un problema de seguridad. Si está cargando este iframe src basado en una variable GET, entonces esto es XSS: http://site?iframe_src=javascript:alert(document.cookie) . En esta condición, un atacante puede introducir JavaScript en la sesión de otro usuario, y esto es un problema de seguridad serio
Si se puede colocar un sitio dentro de un iframe, entonces es vulnerable a ClickJacking . Esto no expone el sitio principal que aloja el iframe, sino que cualquier sitio está sujeto a este tipo de manipulación. Hay formas de mitigar el ClickJacking para sitios que deben poder encuadrarse .
Lea otras preguntas en las etiquetas web-application html appsec