У нас нещодавно був сценарій, в якому є IFRAMEфрагмент на сервері A вказував на URL-адресу на сервері B. Деякі клієнти встановили серверний файл з деякими зловмисними програмами. Чи може це зробити iframe? Як в хакері вводиться його URL-адреса в скрипті iframe. Які можуть бути альтернативи iframe та ін
Відповіді:
4 для відповіді № 1Швидше за все, ви пережили XSS
2 для відповіді № 2
Якщо хакер може змінити URL-адресу, яку показує iframe на вашому сайті, то iframe не проблема, ваш код.
Будь-який веб-сайт може служити зловмисним програмним забезпеченням, але у вас євказав, що хакер напав на ваш сайт і змінив атрибут src iframe, а не сайт, який обслуговує вміст iframe. Навіть якщо ви замінили IFrame з чим іншим, той факт, що зловмисник вдалося отримати дані за вашим веб-сайтом, який використовувався для створення сторінки, означає, що вони не можуть обмежувати себе лише фреймами, але вставляти інші тактики, такі як переспрямування або приховану посилання, яку натискає JavaScript або будь-який інший тип загальної неприємності.
2 для відповіді № 3
Як правило, IFrame, вміст якого надходить від aІнший домен не може отримати доступ до DOM батьківського веб-сайту через обмеження міждоменного скриптування. Було багато помилок, пов'язаних з браузерами, які не виконують такі обмеження належним чином, тому причиною може стати застарілий браузер клієнта.
0 для відповіді № 4
Якщо ви не запустите код всередині iFrame, який вам насправді не треба, було б добре відключити iFrame від запуску будь-якого коду.