我的网站管理员在一个带有 ssl 的网站上有一个在线商店,我想在我的网站上展示它。他说这可以通过 iframe 来完成。为这家商店使用 iframe 是否存在任何安全风险,例如中间人攻击?还是因为来源受到保护,这对使用它的任何客户来说都是安全的?
最佳答案
尽管 iFrame 在理论上可以安全地加载到它们自己的环境中,但它们存在几个安全问题,包括:
它们可用于 ClickJacking攻击。例如,一个网站在 iframe 中加载另一个网站,然后将用户名和密码文本框 float 在 iframe 的顶部,这样人们就认为他们是在 iframe 中将这些输入到网站中,但实际上并非如此。
<要查看 iframe 正在加载的网站并不容易。例如,您加载 badbank.com 的框架并使其看起来与 goodbank.com 完全一样。用户不知道加载了哪个域,因为没有地址栏和绿色挂锁。
一般来说,建议网站使用 X-Frame-Options 或内容安全策略 HTTP header 来防止框架。
因此,对于像您这样进行框架(而不是被框架)的网站,您是在冒着用户的风险。因此,如果您的网站被黑客入侵,则可能会导致上述问题。此外,我在几个网站上工作过,当框架网站阻止它使用上面的标题再次被框架时,框架突然中断。这在您的网站上看起来很糟糕。
最后,框架打破了一些使用网络的基本方式(例如后退按钮)。
总而言之,我会警告不要使用 iFrame。
关于security - 使用 Iframe 会带来安全风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35702505/