来自第三方主机的 iframe 上的 allow-same-origin 沙箱的安全风险是什么?

【问题标题】:What is security risk of allow-same-origin sandbox on iframe from 3rd party host?来自第三方主机的 iframe 上的 allow-same-origin 沙箱的安全风险是什么?
【发布时间】:2019-12-17 07:47:42
【问题描述】:

在从第三方加载文档的 iframe 上,sandbox="allow-same-origin" 的安全风险究竟是什么?

我在这里和其他地方阅读了大量解释它的作用的答案;它允许第 3 方站点访问第 3 方站点的资源。它根本不允许访问主机(正如许多地方错误地声称的那样)。

那么安全风险是什么?

参考资料:

接受的答案错误地声称allow-same-origin 允许访问主机:

Is it safe to have sandbox="allow-scripts allow-popups allow-same-origin" on <iframe />?

包含第 3 方 iframe 的安全风险

答案说使用沙盒,很好,那么allow-same-origin 还存在风险吗?

Security Risks of Including a 3rd Party iFrame

【问题讨论】:

    标签: html security iframe same-origin-policy


    【解决方案1】:

    如果没有这个,您的嵌入 iFrame 的页面可以访问 iFrame 的 contentWindow.document(和 only if 它位于同一来源,或嵌入有 srcdoc)。尽管您几乎可以在 您的 页面上控制 JS,但这是我设法为这个答案发现的唯一风险。

    【讨论】:

      猜你喜欢
      • 2016-05-14
      • 2011-11-09
      • 2017-06-17
      • 2011-05-19
      • 2011-03-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode