Warning: file_get_contents(/data/phpspider/zhask/data//catemap/8/perl/10.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Facebook画布iframe与安全_Facebook_Facebook Iframe_Facebook Canvas - Fatal编程技术网
Fatal编程技术网
  • facebook/
  • Facebook画布iframe与安全

Facebook画布iframe与安全

facebook

Facebook画布iframe与安全,facebook,facebook-iframe,facebook-canvas,Facebook,Facebook Iframe,Facebook Canvas,我想向开发人员开放我的小型平台,这样他们就可以构建可以作为iframe插入我们站点的应用程序。与facebook的做法类似,但不,我不想再建立一个facebook:)。据我所知,开发人员可以使用iframe构建facebook应用程序 问题:我想知道,从facebook用户的角度来看,安全性如何。Facebook如何防止应用程序开发人员将恶意软件javascript代码放入iframe中。我没有注意到任何自动机制可以阻止在iframe中包含类似的内容 不,这根本不是问题,我想你是在无缘无故地担心

我想向开发人员开放我的小型平台,这样他们就可以构建可以作为iframe插入我们站点的应用程序。与facebook的做法类似,但不,我不想再建立一个facebook:)。据我所知,开发人员可以使用iframe构建facebook应用程序

问题:我想知道,从facebook用户的角度来看,安全性如何。Facebook如何防止应用程序开发人员将恶意软件javascript代码放入iframe中。我没有注意到任何自动机制可以阻止在iframe中包含类似的内容

不,这根本不是问题,我想你是在无缘无故地担心

没有您需要担心的安全问题,iframe中加载的页面是沙盒,并且由浏览器“保护”的。 这两个iFrame甚至不能相互通信,因为它们不共享同一个域,如果这两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行javascript代码的任何尝试

facebook所做的事情就是解决这个问题,facebook中的每个iframe应用程序都会加载,然后使嵌套的iframe能够向facebook发出请求,并在数据返回时得到通知(通过回调)

至于“iframe中通过浏览器攻击用户计算机的恶意软件javascript代码”,iframe与其他浏览器页面具有相同的由浏览器强制执行的安全策略,如果有人设法绕过这些策略,则其加载位置几乎没有区别,facebook也没有实施任何其他安全措施

您唯一需要担心的是iframe中的脚本将能够访问您的脚本和/或dom,除非您创建一种机制(以某种方式绕过跨域策略),否则这种情况不应该发生。

不,这根本不是问题,我想您不必担心

没有您需要担心的安全问题,iframe中加载的页面是沙盒,并且由浏览器“保护”的。 这两个iFrame甚至不能相互通信,因为它们不共享同一个域,如果这两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行javascript代码的任何尝试

facebook所做的事情就是解决这个问题,facebook中的每个iframe应用程序都会加载,然后使嵌套的iframe能够向facebook发出请求,并在数据返回时得到通知(通过回调)

至于“iframe中通过浏览器攻击用户计算机的恶意软件javascript代码”,iframe与其他浏览器页面具有相同的由浏览器强制执行的安全策略,如果有人设法绕过这些策略,则其加载位置几乎没有区别,facebook也没有实施任何其他安全措施

您唯一需要担心的是,iframe中的脚本将能够访问您的脚本和/或dom,除非您创建一个允许它们访问的机制(以某种方式绕过跨域策略),否则这是不应该发生的.

你能举例说明你担心第三方试图做什么吗?他们可以在iframe中放入恶意javascript代码,通过浏览器攻击用户计算机。我不知道FB是如何防止这种情况发生的,因为任何人都可以开发canvas iframe应用程序。你能举一些例子说明你担心第三方试图做什么吗?他们可以在iframe中放入恶意软件javascript代码,通过浏览器攻击用户计算机。我不知道FB是如何防止这种情况发生的,因为canvas iframe应用程序可以由任何人开发。谢谢您的回答。但我不确定我是否理解你。您说:“如果两个框架具有不同的域,现代浏览器将阻止在另一个框架中执行javascript代码的任何尝试。”如果我将此执行警报('1')放入我的页面arabiacooking.com/example.html,则进行简单测试“>。因此javascript不会被阻止。我不是说两个iframe。我是说如果我放入单个iframe(开发人员应用程序)在我们的页面内。由于开发人员可以自由操作如何构建应用程序,然后将其托管在其网站上,并将其放在我们的网站的iframe内,他们可以将一些恶意软件javascript代码放在我们的网站上。这是我担心的,因为iframe将显示在我们的网站上,即使没有托管在我们的网站上。我不担心iframe和ou之间的通信这不会发生。他们只会通过应用程序内部的api请求进行通信。我写道,iframe中的js将无法与顶部框架进行通信,类似于:parent.someFunction()显然,正常的js代码在iframe中是可以的,但这不应该让你担心,因为它们无能为力。安全“危险”是“可用的”"因为iframe中的页面与任何页面中的页面完全相同,这不是您的问题,而是浏览器开发人员和安全专家的问题。Tnx的解释。但我仍然认为这应该是我的担忧。因为iframe将在我们的网站中。如果恶意软件javascript代码在iframe中,这对我们的网站是有害的。是的,完全相同和任何页面一样。但例外情况是,通常你控制你在页面上放置的内容,如果你关心你的用户,你不会放置任何恶意代码。但在这种情况下,我们无法知道iframe中会有什么内容,而iframe实际上是我们网站的一部分。普通用户不会知道这是否是iframe,他们会简单地认为这是我们的网站,因为他们会我实际上是在我们的页面中访问iframe。好吧,让我这样说:你无法控制iframe中加载的内容。就是这么简单。Facebook在使用iframe解决方案之前,曾经以不同的方式加载应用程序,它被称为FBML,并使用了一种叫做FBJS的东西,它是javascript的子集(有点像).他们实际上是自己从你的服务器加载内容,并将其解析为mak