Javascript 黑客嵌入iFrame带来的安全风险

在我的应用程序（）中，我正在运行一个iFrame（）

主页（www.example.com）仅根据iFrame设置的cookies呈现自定义数据。iFrame拥有所有智能、Javascript、安全cookie等。iFrame没有文本、图像等，只有Javascript代码

---

是否存在有人将iFrame嵌入另一个站点并访问安全Cookie、登录令牌等的风险？

这将是一种跨站点脚本攻击，大多数浏览器将阻止这种攻击，除非用户已将其配置为不这样做。

默认情况下，Cookie绑定到域名，因此在正常情况下不可能

---

如果你有一个XSS Vuln。在您的站点上，他可以访问cookies，因此一定要避开所有输入字符串。

这将是一个XSS Vuln。如果站点有可能包含用户内容，这样他就可以加载JS，JS将Cookie数据发送到一个自定义脚本，然后保存Cookie数据。默认情况下，用户询问的案例没有XSS问题。iFrame将没有任何用户输入，但父级将有用户输入。那么，您是否认为只有父页面存在风险，但即使攻击者将iFrame放置在另一个页面中（即，evil.com放置在iFrame中，evil.com将无法访问cookies或XSS correct？）iFrame也是安全的，如我的回答中所述。