Niedawno mieliśmy scenariusz, w którym element iframeFragment na serwerze A wskazywał na adres URL na serwerze B. Niektóre serwery instalowały niektóre złośliwe oprogramowanie na niektórych klientach. Czy to może być przyczyną? Jak w hackerze wstrzyknął swój URL w iframe "src .Jak może być alternatywa dla iframe itp.
Odpowiedzi:
4 dla odpowiedzi № 1Najprawdopodobniej doświadczyłeś XSS
2 dla odpowiedzi nr 2
Jeśli haker może zmienić adres URL, na który wskazuje element iframe w Twojej witrynie, to iframe nie stanowi problemu, Twój kod jest.
Każda strona internetowa może obsługiwać złośliwe oprogramowanie, ale maszwskazał, że haker zaatakował twoją stronę i zmienił atrybut src w elemencie iframe, a nie w witrynie obsługującej zawartość iframe. Nawet jeśli zastąpiłeś element iframe czymś innym, fakt, że atakujący zdołał uzyskać dane za twoją witryną internetową, które były używane do generowania strony, oznacza, że nie mogą ograniczać się do elementów iframe, ale osadzają inne takty, takie jak przekierowanie, lub ukryty link, który jest klikany przez javascript lub jakikolwiek inny typ wspólnej paskudnej.
2 dla odpowiedzi nr 3
Ogólnie IFrame, którego treść pochodzi z ainna domena nie może uzyskać dostępu do DOM macierzystej strony internetowej - z powodu ograniczeń skryptów cross-domain. Było wiele błędów związanych z przeglądarkami, które nie wprowadziły odpowiednich ograniczeń, więc przyczyną mogła być nieaktualna przeglądarka klienta.
0 dla odpowiedzi nr 4
Jeśli nie uruchamiasz kodu wewnątrz elementu iFrame, który naprawdę nie powinien być, dobrym pomysłem byłoby wyłączenie tego elementu iFrame z dowolnego kodu.