IFrame 安全性和 CORS

【问题标题】:IFrame security and CORSIFrame 安全性和 CORS
【发布时间】:2016-09-29 18:22:25
【问题描述】:

我有一个一般性问题,我正在尝试获取一些信息。

我有一个服务器,在这个服务器上我有一个提交给 API 的网络表单。

第三方公司有一台服务器,他们需要托管我的表单。因此,他们将我的表单 IFrame 到他们的页面中。

第三方公司是否有任何可能的方式来获取输入到 iframe 中包含的表单中的数据?他们的 Apache 日志会记录数据吗?他们可以在服务器上做一些事情来帮助他们获取数据吗?

我的服务器是安全的,它不会允许 CORS 或类似的东西。问题是他们是否可以做任何事情来获取输入的数据?

【问题讨论】:

    标签: security iframe cors


    【解决方案1】:

    则无法访问 iframe 的内容,因为它不在他们的域中。

    是的他们可以欺骗用户窃取输入:显示看起来像您的 iframe 但受他们控制的内容,或使用Clickjacking

    而且,如果他们使用 http,即使您的 iframe 使用 https,攻击者也可以这样做并窃取他们的数据。

    【讨论】:

    • 也可以使用 Window.postMessage() 从另一个域访问 iframe 的内容。
    • @AndersonGreen 是的,但不是在这里:因为它的 iframe 不会回复消息。问题是“他们能否在未经我许可的情况下访问 iframe 的内容”,答案是否定的。
    猜你喜欢
    • 1970-01-01
    • 2016-07-14
    • 1970-01-01
    • 2015-02-26
    • 1970-01-01
    • 2019-01-05
    • 2020-05-29
    • 2020-07-19
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode