Los iFrames pueden presentar muchos problemas de seguridad según la forma en que se implementan y el lugar donde se sirve el contenido.
Aquí hay algunos detalles sobre las opciones de iFrame que menciona Rook
permitir-formas
Si está habilitado, los iFrames podrían falsificar información para obtener información, plantearse como un formulario de inicio de sesión para su sitio web, etc.
scripts permitidos
Si se permiten las secuencias de comandos permitidas, no tiene sentido configurar las formas permitidas, ya que JavaScript puede crear un formulario en el DOM
Si permite secuencias de comandos en un iFrame, podría realizar ataques DoS, abrir diálogos del navegador o realizar una automatización en la página que podría exponer información a otros (atributo de referencia) o cargar objetos externos.
<<
Este derecho permite que iFrame actúe como el sitio incorporado o falsifique las credenciales de los usuarios.
Permitir-same-origin
Este atributo está diseñado para mostrar documentos HTML sin procesar (correo electrónico HTML, por ejemplo) sin alterar de la fuente. El problema es que si la URL es predecible y el atacante puede hacer que el usuario vea el iFrame directamente, se pierden las propiedades de la caja de arena. Peor aún, la página web abierta podría atravesar el objeto opener
y descubrir propiedades sobre la página de origen.
Finalmente, hay un tipo de MIME propuesto llamado text/html-sandboxed
para el contenido que siempre debe verse en un entorno de espacio aislado, pero muchos navegadores malinterpretan esto y mostrarán los datos de manera inusual (generalmente algo malo).