0
我的网站管理员在一个网站上有一个网上商店,我希望在我的网站上有这个网站。他说这可以通过iframe来完成。在这家商店使用iframe是否存在安全风险,例如中间人攻击?或者对于使用它的客户来说这是安全的,因为原产地受到保护?使用Iframe会带来安全风险吗?
A
回答
1
虽然iFrame是,在理论上,安全地在自己的环境中加载,有与他们几个安全问题,包括:
它们可用于ClickJacking攻击。例如,一个网站在iframe中加载另一个网站,然后在iframe之上放置用户名和密码文本框,以便人们认为他们将这些内容输入到iframe中的网站上,而实际上它们不是。
看到iframe加载的网站并不容易。例如,您加载一个badbank.com框架,并使其看起来完全像goodbank.com。由于没有地址栏和绿色挂锁,用户不知道已加载哪个域。
一般而言,建议网站使用X-Frame-Options或Content Security Policy HTTP Headers防止成帧,以防止成帧。
对于像您这样的网站进行构图(而不是被构图),您因此冒用户的风险。所以如果你的网站被黑客攻击,那么这可能会导致上述问题。此外,我曾在两个站点上工作,当框架站点使用上述标题阻止框架再次陷入框架时,框架突然崩溃。在您的网站上看起来很糟糕。
最终取景会打破一些使用网络的基本方式(例如后退按钮)。
总而言之,我会告诫不要使用iFrames。
相关问题
- 1. AHAH是安全风险吗?
- 2. WordPress - 安全风险?
- 3. ASP MVC会话安全风险
- 4. 创建一个Automator应用程序来启动Plone会带来安全风险吗?
- 5. 个人使用泡椒安全风险
- 6. 使用xpath有什么安全风险?
- 7. 会向公众展示主要潜在安全风险吗?
- 8. 不使用OO封装会产生安全风险?
- 9. 启用MSDTC的安全风险
- 10. 在查询字符串中破解会为Ruby on Rails带来安全风险吗?
- 11. 如果公开,S3文件名和存储桶可能会带来安全风险吗?
- 12. 可以image.src是一个安全风险?
- 13. Apache中auto_prepend_file的安全风险?
- 14. ElementRef安全风险角度2
- 15. 多个提交按钮安全风险
- 16. PHP过滤器和安全风险
- 17. 表单身份验证安全风险
- 18. WCF自签证明的安全风险
- 19. SSL系统属性 - 安全风险?
- 20. Drupal中$ update_access_free = true的安全风险
- 21. 有任何安全风险codealike?
- 22. 可见的.git文件夹存在安全风险吗?
- 23. CruiseControl.NET是开源项目的安全风险吗?
- 24. PHP代码注入。我们有安全风险吗?
- 25. phpMyAdmin是否会对生产造成安全风险
- 26. 无休止的会议:任何安全风险?
- 27. SharePoint中的流媒体是否会带来性能风险?
- 28. WFFM安全风险验证消息来自哪里?
- 29. 寻找资源来解释安全风险
- 30. SP_OACreate,SP_OAMethod等的使用是否存在安全风险?
可能的重复[为什么iframe被认为是危险的并且存在安全风险?](https://stackoverflow.com/questions/7289139/why-are-iframes-considered-dangerous-and-a-security-risk) –