我想允许登录用户通过 IFrame 查看任何第 3 方内容。
类似于允许 Gmail 用户在 IFrame 中查看他们想要的任何 Web 日历。
允许用户设置 IFrame Src Url 是否存在安全问题?
我会面临哪些安全问题?
欢迎任何其他需要了解使用 IFrame 的提示。
谢谢
拉斐尔
最佳答案
你害怕那些想要伤害你的用户吗?那么答案是,你对此无能为力。他们可以随心所欲地在浏览器中控制源代码。你必须做你的安全服务器端。
但是如果您想保护您的客户免受通过 iframe 加载的第 3 方网站上的邮件代码的侵害,答案是: iframe 是相当安全的。 xss/same-source-origin 策略现在非常好。
当然,这样的事情总是有风险的。 您不必害怕 iframe 中的内容。 我更愿意推荐的是验证内容或 src 标签。 使它成为一个有效的 url,然后你应该没问题。
iframe 中的页面可能做的唯一一件事就是将您的页面重定向到一个错误的站点。 (因为 document.location 属性在来自不同来源的 iframe 中是可操作和可读的)。有一些方法可以防止这种情况发生,但它们并不可靠。
您可以将外部网站的源代码加载到您的服务器并将其输出设置为外部网站的基本 href 属性,这样一切都会正确加载,然后您就可以检查/操作文档。但是如果你想维护像 javascript 等高级的东西,那就太复杂了。
总结一下:该网站不会真正伤害您。但用户。但如果用户指定了一个错误的站点,那么这确实是她/他的问题....
关于javascript - Iframe – 让用户选择 src – 有安全问题吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3797693/