IFRAME可以引入安全風(fēng)險(xiǎn)，例如Click Jacking，XSS攻擊，數(shù)據(jù)洩漏和性能問(wèn)題。 1。當(dāng)惡意網(wǎng)站將您的頁(yè)面嵌入隱藏的iframe中時(shí)，就會(huì)發(fā)生點(diǎn)擊夾克，從而誘使用戶(hù)進(jìn)入意外的交互；防止使用X框架選項(xiàng)或內(nèi)容 - 安全性 - 政策標(biāo)頭。 2。如果用戶(hù)生成的內(nèi)容包括惡意代碼，則可以啟用XSS；消毒輸入並限制iframe用法。 3。當(dāng)父和iframe頁(yè)面相互作用時(shí)，可能會(huì)發(fā)生數(shù)據(jù)洩漏，尤其是與共享cookie相互作用；使用沙箱屬性和安全的cookie標(biāo)誌。 4。性能和跟蹤問(wèn)題來(lái)自第三方內(nèi)容；僅嵌入可信賴(lài)的來(lái)源，監(jiān)視資源使用並考慮懶惰的加載。使用IFRAME時(shí)，適當(dāng)?shù)陌踩胧┖椭?jǐn)慎的實(shí)現(xiàn)至關(guān)重要。

使用IFRAME可以引入幾種安全風(fēng)險(xiǎn)，尤其是當(dāng)它們從外部或不受信任來(lái)源加載內(nèi)容時(shí)。 iframe對(duì)於嵌入廣告，視頻或小部件（視頻或小部件）等第三方內(nèi)容很有用，但如果不仔細(xì)處理，它們也為潛在脆弱性打開(kāi)了大門(mén)。

點(diǎn)擊劫機(jī)攻擊

與iframe相關(guān)的最著名的風(fēng)險(xiǎn)之一是click插。當(dāng)惡意網(wǎng)站將另一個(gè)網(wǎng)站（例如您的登錄頁(yè)面）嵌入透明的iframe中並在其自己的按鈕或鏈接上疊加時(shí)，就會(huì)發(fā)生這種情況。用戶(hù)認(rèn)為他們正在點(diǎn)擊無(wú)害的東西，但實(shí)際上，他們正在與隱藏的??頁(yè)面進(jìn)行互動(dòng) - 潛在地提供敏感信息或執(zhí)行意外的操作。

為了防止這種情況：

• 使用HTTP標(biāo)頭（例如X-Frame-Options或Content-Security-Policy來(lái)控制您的網(wǎng)站是否可以嵌入IFRAME中。
• 測(cè)試網(wǎng)站嵌入時(shí)的行為，並確保關(guān)鍵操作需要其他確認(rèn)步驟。

通過(guò)iframe的跨站點(diǎn)腳本（XSS）

IFRAME還可以用作跨站點(diǎn)腳本（XSS）攻擊的向量，尤其是如果您允許使用包括嵌入式IFRAME的用戶(hù)生成的內(nèi)容。惡意用戶(hù)可能會(huì)注入一個(gè)指向有害腳本或網(wǎng)絡(luò)釣魚(yú)頁(yè)面的iframe，該頁(yè)面可能會(huì)從毫無(wú)戒心的訪(fǎng)問(wèn)者那裡竊取cookie或會(huì)話(huà)令牌。

降低風(fēng)險(xiǎn)：

• 消毒所有允許HTML的用戶(hù)輸入。
• 避免允許用戶(hù)插入原始標(biāo)籤，除非絕對(duì)必要。
• 設(shè)置嚴(yán)格的內(nèi)容策略，以阻止內(nèi)聯(lián)腳本或未知域。

站點(diǎn)之間的數(shù)據(jù)洩漏

如果iframe從另一個(gè)域加載內(nèi)容，並且父頁(yè)面和iframe之間存在某種交互（例如通過(guò)JavaScript），則數(shù)據(jù)洩漏的可能性很大。例如，如果兩個(gè)頁(yè)面都在您的控制之下並使用共享cookie（例如身份驗(yàn)證令牌），則iFrame代碼中的漏洞可能會(huì)將敏感數(shù)據(jù)暴露於攻擊者。

要考慮的要點(diǎn)：

• 除非兩者都完全信任，否則避免在父母和iframe之間進(jìn)行深層集成。
• 使用IFRAME上的sandbox屬性限制嵌入式內(nèi)容可以做的事情。
• 確保將cookie設(shè)置為使用適當(dāng)?shù)臉?biāo)誌（ SameSite ， Secure ），以限制跨原始訪(fǎng)問(wèn)。

績(jī)效和跟蹤問(wèn)題

雖然不是嚴(yán)格的安全問(wèn)題，但I(xiàn)FRAME可能會(huì)導(dǎo)致績(jī)效問(wèn)題和隱私問(wèn)題。第三方IFRAME（例如廣告或跟蹤器）通常會(huì)加載重型腳本或監(jiān)視跨站點(diǎn)的用戶(hù)行為。在某些情況下，這些腳本可能會(huì)出乎意料地行事，甚至間接地交付惡意軟件。

一些實(shí)用的提示：

• 僅嵌入可靠來(lái)源的內(nèi)容。
• 監(jiān)視嵌入式內(nèi)容的負(fù)載時(shí)間和資源使用情況。
• 考慮使用懶惰的負(fù)載來(lái)提高性能並減少初始曝光。

使用iframe並不是固有的危險(xiǎn)，但是它們確實(shí)具有嚴(yán)重取決於其使用方式和何處的風(fēng)險(xiǎn)。要謹(jǐn)慎嵌入的內(nèi)容，應(yīng)用適當(dāng)?shù)陌踩珮?biāo)頭並跟上瀏覽器安全功能的最佳實(shí)踐可能會(huì)有很長(zhǎng)的路要走。

基本上，將任何iframe視為進(jìn)入別人房子的窗戶(hù)，除非您知道誰(shuí)在裡面，否則您不想將其蓋好。

以上是使用IFRAME的安全風(fēng)險(xiǎn)是什麼？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！