标签：javascript security iframe html

我想允许登录用户通过IFrame查看任何第三方内容.

允许Gmail用户在IFrame中查看他们想要的任何Web日历.

是否允许用户设置IFrame Src Url的安全问题？

我将面临哪些安全问题？

任何其他需要知道使用IFrame的提示将是受欢迎的.

谢谢

拉斐尔

解决方法:

你害怕想要伤害你的用户吗？那么答案是,你无能为力.他们可以随心所欲地控制浏览器中的来源.你必须做你的安全服务器端.

但是如果你想保护你的客户免受通过iframe加载的第三方网站上的邮件代码的答案是：
iframe非常安全. xss /同源政策是相当不错的日子.

当然,这样的事情总是存在风险.
你不必害怕iframe中的内容.
我宁愿推荐的是验证内容或src标签.
使它成为一个有效的网址然后你应该没事.

iframe页面唯一可能做的就是将您的页面重定向到一个糟糕的网站. (因为document.location属性是可操作的,并且可以在来自不同来源的iframe中读取).有办法防止这种情况,但它们不可靠.

您可以将外部网站的源加载到您的服务器并输出它,将基本href属性设置为外部站点,这样一切都将正确加载,然后您就可以检查/操作文档了.但如果你想保持像javascript等高级内容,这很复杂

总结一下：这个网站真的不会伤害你.但是用户.但如果用户指定了一个糟糕的网站,那么它真的是她/他的问题….

标签：javascript,security,iframe,html
来源： https://codeday.me/bug/20190610/1212629.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。