¿Pueden los sitios malintencionados usar datos de sesión de iframes?

Navega tus respuestas
1

Digamos que he iniciado sesión en mi sitio Genuine Site . Malicious Site tiene un iframe incrustando Genuine Site . ¿El iframe incrustado en el Malicious site tendrá acceso a mis credenciales de inicio de sesión desde Genuine Site en el que he iniciado sesión, en otra pestaña?

El usuario no tiene conocimiento del iframe oculto en el Malicious Site . Es un DOM oculto.

Si esto fuera posible, Malicious Site ahora puede emitir solicitudes con las credenciales adecuadas de manera programática, ya que el iframe tiene acceso a los datos de la sesión. ¿Cómo debo rectificar este problema?

    
pregunta Souradeep Nanda 20.03.2018 - 05:26
fuente

1 respuesta

5

No. Un sitio malicioso no puede interactuar con sus iframes que apuntan a otros dominios. Solo puede emitir solicitudes GET y POST sin leer las respuestas correspondientes, como cualquier otra página web abierta en el mismo navegador. Un ataque factible sería, en cambio, clickjacking .

Esta pregunta es un posible duplicado de la pregunta JavaScript y iframes del mismo origen .

    
respondido por el Enos D'Andrea 20.03.2018 - 06:55
fuente

Lea otras preguntas en las etiquetas

El servidor se inunda con Avast Secure DNS ¿Es posible predecir random.random () de Python si se siembra constantemente con valores altos de entropía?