【发布时间】:2009-07-22 09:00:23
【问题描述】:
我们最近有一个场景,服务器 A 上的 iframe sn-p 指向服务器 B 上的 url。服务器 A 在某些客户端上安装了一些恶意软件。这个 iframe 可以是原因吗?正如黑客在 iframe 的 src 中注入了他的 url。什么可以替代 iframe 等。
【问题讨论】:
标签: javascript security iframe
【发布时间】:2009-07-22 09:00:23
【问题描述】:
您很可能经历过XSS
【讨论】:
如果黑客能够更改 iframe 在您网站上指向的 URL,那么 iframe 不是问题,您的代码才是问题所在。
任何网站都可能提供恶意软件,但您已表明黑客攻击了您的网站并更改了 iframe 的 src 属性,而不是提供 iframe 内容的网站。即使您将 iframe 替换为其他内容,攻击者已设法获取用于生成页面的网站背后的数据,这意味着他们无法将自己限制在 iframe 中,而是嵌入其他策略,例如重定向,或被 javascript 或任何其他类型的常见恶意点击的隐藏链接。
【讨论】:
-
所以你的意思是说他们可以访问服务器 A ?
-
嗯,这就是你所说的 - (那个)“黑客在 iframe 的 src 中注入了他的 url”。如果如您所说,iframe 上的 src 属性指向攻击者站点,那么我会查看您的代码
由于跨域脚本限制,通常其内容来自不同域的 IFrame 无法访问父网站的 DOM。存在很多涉及浏览器未正确实现此类限制的错误,因此可能是客户端浏览器过时的原因。
【讨论】:
-
尽可能多的可能性。
除非您在 iFrame 内运行代码(您确实不应该这样做),否则最好禁用该 iFrame 运行任何代码。
【讨论】:
-
不确定我为什么被降级,因为这是非常合理的建议。他没有提到他使用的是什么语言,所以我真的无法告诉他该怎么做。
-
AFAIK,主机页面没有可靠的方法告诉浏览器,“不要在这个 iframe 中运行任何 JavaScript”。 HTML5 定义了一个沙盒属性来执行此操作(以及其他一些东西),但是现在人们运行的许多浏览器(2012 年 11 月下旬)还不支持此功能。也许您应该通过禁用代码运行来解释您的意思。如果我没看错的话,今天没有实用的方法可以做到这一点。