¿Pueden los sitios malintencionados usar datos de sesión de iframes?

1

Digamos que he iniciado sesión en mi sitio Genuine Site . Malicious Site tiene un iframe incrustando Genuine Site . ¿El iframe incrustado en el Malicious site tendrá acceso a mis credenciales de inicio de sesión desde Genuine Site en el que he iniciado sesión, en otra pestaña?

El usuario no tiene conocimiento del iframe oculto en el Malicious Site . Es un DOM oculto.

Si esto fuera posible, Malicious Site ahora puede emitir solicitudes con las credenciales adecuadas de manera programática, ya que el iframe tiene acceso a los datos de la sesión. ¿Cómo debo rectificar este problema?

    
pregunta Souradeep Nanda 20.03.2018 - 05:26
fuente

1 respuesta

5

No. Un sitio malicioso no puede interactuar con sus iframes que apuntan a otros dominios. Solo puede emitir solicitudes GET y POST sin leer las respuestas correspondientes, como cualquier otra página web abierta en el mismo navegador. Un ataque factible sería, en cambio, clickjacking .

Esta pregunta es un posible duplicado de la pregunta JavaScript y iframes del mismo origen .

    
respondido por el Enos D'Andrea 20.03.2018 - 06:55
fuente

Lea otras preguntas en las etiquetas