0
내 앱 (http://www.example.com) 내에서 iFrame (https://www.example.com/iframe-application)을 실행하고 있습니다.해커의 퍼가기에 의한 iFrame 보안 위험
기본 페이지 (www.example.com)는 iFrame에서 설정 한 쿠키를 기반으로 맞춤 데이터 만 렌더링합니다. iFrame에는 모든 스마트, 자바 스크립트, 보안 쿠키 등이 있습니다. iFrame에는 텍스트, 이미지 등이 있으며 자바 스크립트 코드 만 있습니다.
다른 사람이 iFrame을 다른 사이트에 삽입하고 보안 쿠키, 로그인 토큰 등에 액세스 할 위험이 있습니까?
XSS Vuln이됩니다. 사이트가 사용자 컨텐츠를 포함 할 가능성이있는 경우 쿠키 데이터를 저장하는 사용자 정의 스크립트에 쿠키 데이터를 보내는 JS를로드 할 수 있습니다. 사용자가 요청한 사례는 기본적으로 XSS 문제가 아닙니다. –
iFrame에는 사용자 입력이 없지만 부모에게는 사용자 입력이 있습니다. 따라서 부모 페이지에만 위험이 있다고 말 하겠지만 공격자가 iFrame을 다른 페이지 (예 : evil.com)에 두었더라도 iFrame은 안전합니다 https://www.example.com/iframe-application evil.com은 쿠키 나 XSS에 액세스 할 수 없습니까?) –
정답은 내 답변에 쓰여진 것과 같습니다. –