IT干货网

security之iFrame安全性和CORS

lexus 2024年11月24日 编程设计 28 0

我有一个一般性的问题,我试图获得一些信息。

我有一台服务器,在这台服务器上,我有一个提交给API的网络表单。

第三方公司有一个服务器,他们需要托管我的表格。这样,他们将我的表单IFrame放入其页面。

第三方公司是否可以通过任何方式获取iframe中包含的表格中输入的数据?他们的Apache日志会记录数据吗?他们可以在服务器上做一些可以帮助他们获取数据的事情吗?

我的服务器是安全的,它不允许CORS或任何此类的东西。问题是,他们是否可以做任何事情来获取输入的数据?

请您参考如下方法:

没有,因此无法访问iframe的内容,因为它不在其域中。

,他们可以诱骗用户窃取输入:显示类似于iframe的但由他们控制的内容,或使用Clickjacking

并且,如果如果他们使用的是http ,即使您的iframe使用https,则攻击者也可以这样做并窃取他们的数据。


评论关闭
IT干货网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!