Leí una serie de blogs de seguridad de TI (aunque no soy un experto en seguridad), y parece que un porcentaje significativo de las vulnerabilidades en la naturaleza se realizan mediante la adición de iframes maliciosos a un sitio web pirateado, con el iframe apuntando a los maliciosos carga útil.
Teniendo en cuenta esto, junto con el hecho de que realmente no he visto casi ninguna aplicación legítima de iframe que no sea detestable, ¿por qué están permitidas en los navegadores modernos? Me parece que una forma fácil de bloquear un número significativo de ataques directos es simplemente deshabilitar la compatibilidad con iframe en el navegador.
Alternativamente, un mecanismo de "clic para cargar", similar a los complementos "clic a flash" comunes para muchos navegadores tendría un efecto similar, sin impedir por completo que los sitios existentes que usan iframes funcionen.
Alternativamente, deshabilitar los iframes que cargan contenido de otro dominio probablemente también sería efectivo.
Ciertamente, no afirmo que el bloqueo de iframes solucione todas las soluciones de seguridad web, pero desde una perspectiva de costo-beneficio, parece una manera muy fácil de bloquear una cantidad significativa de problemas de seguridad.