Javascript Iframe安全问题

我们最近有一个场景，服务器a上的一个iframe片段指向服务器B上的url。服务器a在一些客户端上安装了一些恶意软件。这可能是原因吗。正如黑客在iframe的src中插入他的url一样。iframe等的替代方案是什么？你最有可能遇到的是

你最有可能遇到的是

如果黑客能够更改iframe指向你网站的URL，那么iframe不是问题，你的代码是

---

任何网站都可能提供恶意软件，但您已表示黑客攻击了您的网站并更改了iframe的src属性，而不是提供iframe内容的网站。即使您将iframe替换为其他内容，但事实上，攻击者已成功访问您网站背后用于生成页面的数据，这意味着他们不能将自己限制为iframe，而是嵌入其他策略，例如重定向，或者被javascript或任何其他类型的常见恶意软件点击的隐藏链接。

如果黑客能够更改iframe指向您站点的URL，那么iframe不是问题，您的代码就是问题所在

---

任何网站都可能提供恶意软件，但您已表示黑客攻击了您的网站并更改了iframe的src属性，而不是提供iframe内容的网站。即使您将iframe替换为其他内容，但事实上，攻击者已成功访问您网站背后用于生成页面的数据，这意味着他们不能将自己限制为iframe，而是嵌入其他策略，例如重定向，或由javascript或任何其他类型的常用脚本单击的隐藏链接。

通常，由于跨域脚本限制，内容来自不同域的IFrame无法访问父网站的DOM。由于浏览器未正确实施此类限制，因此存在许多错误，因此可能是因为客户端浏览器过时。

通常，由于跨域脚本限制，内容来自不同域的IFrame无法访问父网站的DOM。浏览器未正确实现此类限制时存在许多错误，因此过时的客户端浏览器可能是原因。

除非您在iFrame内部运行代码，否则最好禁用该iFrame，使其无法运行任何代码

除非您正在iFrame内部运行代码，否则最好禁用该iFrame，使其无法运行任何代码

可能性和其他任何事情一样大。可能性和其他任何事情一样大。那么你的意思是说他们可以访问服务器a？这就是你所说的—“黑客在iframe的src中插入了他的url”。如你所说，如果iframe上的src属性指向攻击者站点，那么我会查看你的代码，你的意思是说他们可以访问服务器A？这就是你所说的—“黑客在iframe的src中插入了他的url”。如您所说，如果iframe上的src属性指向攻击者站点，那么我会查看您的代码，不确定我为什么被标记下来，因为这是非常合理的建议。他没有提到他在使用什么语言，所以我真的无法告诉他该怎么做。好了，没有可靠的方法让主机页面告诉浏览器，“不要在这个iframe中运行任何JavaScript”。HTML5定义了一个沙盒属性来实现这一点（以及其他一些功能），但现在（2012年11月底）人们运行的许多浏览器还不支持这一点。也许您应该解释一下禁止代码运行是什么意思。如果我没看错的话，今天就没有切实可行的办法了。我不知道为什么我被降了分，因为这是非常合理的建议。他没有提到他在使用什么语言，所以我真的无法告诉他该怎么做。好了，没有可靠的方法让主机页面告诉浏览器，“不要在这个iframe中运行任何JavaScript”。HTML5定义了一个沙盒属性来实现这一点（以及其他一些功能），但现在（2012年11月底）人们运行的许多浏览器还不支持这一点。也许您应该解释一下禁止代码运行是什么意思。如果我没看错的话，今天就没有切实可行的方法了。