Digamos que he iniciado sesión en mi sitio Genuine Site
. Malicious Site
tiene un iframe incrustando Genuine Site
. ¿El iframe incrustado en el Malicious site
tendrá acceso a mis credenciales de inicio de sesión desde Genuine Site
en el que he iniciado sesión, en otra pestaña?
El usuario no tiene conocimiento del iframe oculto en el Malicious Site
. Es un DOM oculto.
Si esto fuera posible, Malicious Site
ahora puede emitir solicitudes con las credenciales adecuadas de manera programática, ya que el iframe tiene acceso a los datos de la sesión. ¿Cómo debo rectificar este problema?