سیاست امنیتی محتوا – چگونه می توانم embedders embedders از iframe من را کنترل کنم؟

از هدرها ( X-Frame-Options با اجازه دهید از ... و Content-Security-Policy با فریم اجداد ) برای کنترل اینکه دامنههای شخص ثالث میتوانند iframe خود را جاسازی کنند.

اما دامنه دیگری می تواند آن دامنه را جاسازی کند، بنابراین حذف حفاظت clickjacking از این کنترل امنیتی حذف می شود.

چگونه می توانم کنترل کنم که چه کسی می تواند embedders را جاسازی کند؟

xss – حفاظت از وب سایت در برابر حملات با iframe برای جاوااسکریپت تولید شده توسط کاربر؟

من یک زمین بازی کوچک برای مردم برای نوشتن و تست جاوا اسکریپت در وب سایت من ایجاد میکنم. من می دانم که وبسایت هایی مانند jsfiddle در حال حاضر وجود دارد، اما فقط برای سرگرمی و برای تلاش برای چیزی جدید است.

اکنون می دانم که مردم می توانند سایت من را خیلی بد با XSS و چیزهای دیگر هک کنند، بنابراین من چند راه برای جلوگیری از ویرانی آوردم :

  1. به طور معمول، مردم جاوا اسکریپت و HTML خود را در یک فرم می نویسند. این متن خالص است هیچ چیز کارکردی نیست.

  2. وقتی میخواهید کد را آزمایش کنید، دادهها از www.A.com به www.B.com ارسال میشوند

  3. در این دامنه، دادهها به یک iframe با ویژگی sandbox در بدون گزینه "allow-top-navigation"

  4. سپس iframe به www.A.com فرستاده می شود

  5. www.A.com دریافت iframe و آن را به عنوان یک کودک به DOM اضافه می کند.

  6. کاربر می بیند iframe و می تواند با آن ارتباط برقرار کند.

آیا این به اندازه کافی امن است؟ یا من از دست رفته چیزی مهم است؟

جاوا اسکریپت – آیا می توان وب سایت با تزریق iframe هک شد؟

وبسایت من هک شده است. من مشاهده می کنم که هکر به سایت من دسترسی پیدا می کند. اگرچه با استفاده از bindparam برای جلوگیری از تزریق sql و محدودیت دسترسی مستقیم برای حمله پشتی ، تغییر هکرها من .php صفحه و اجرای اسکریپت خود را. S / او خط زیر را <iframe width = '1' height = '1' src = 'https: //www.youtube.com/embed/hKdyS_bgUbM؟ rel = 0 & autoplay = 1 & loop = 1 & playlist = RvpkUhrTmxY' در اسکریپت HTML ارسال شده خود.

من شک دارم که من تبدیل به قربانی xss حمله . بنابراین من در مورد احتمال حمله اسکریپت در گوگل جستجو کردم و در مورد تزریق iframe یافتم. و در یک ویدیو یوتیوب گفته شده است – اگر عرض و ارتفاع تویتر شما تغییر شود، تزریق فایرفاکس به راحتی قابل اجرا و هک می شود . آنچه او می گوید؟

من عنصر را از طریق بازرس موزیلا فایرفاکس بازرسی می کنم، عرض و ارتفاع iframe من می تواند در iframe live body تغییر و اعمال شود. آیا او در مورد پرونده من صحبت می کند؟ آیا وب سایت من توسط تزریق iframe هک شده است؟ اگر اینطور باشد، چگونه می توان از آن جلوگیری کرد. وب سایت من هنوز آسيبپذير است ، زيرا من فقط کد index.php خود را حذف کردم و بازگردانی index.php که هک شده بود، هیچ چیز تغییر نکرده است. لطفا کمک کنید.

ردیابی کاربر – درخواست HTTP از Embeds Trackable

من اینجا خیلی خوشحال هستم لطفا با من، یک تازه وارد امنیتی، آرزو داشته باشید.

من یک وبسایت دارم که می خواهم کاربر یک فرم را پر کند. این فرم قبلا در وبسایت دیگر من (که دارای قابلیتهای بیشتری است) وجود دارد، اما به دلیل نام وب سایت / url ممکن است یک خطر امنیتی فیزیکی برای کاربران سایت اول (کشورهایی باشد که کاربران در آن زندگی می کنند می توانند مورد آزار و اذیت قرار گیرند آنها برای رفتن به وب سایت)

با قرار دادن هر چیزی از سایت 2 به سایت من 1، من قرار دادن کاربران من در معرض خطر؟ آیا می توان درخواست های HTTP را از طریق فرم وب بر روی جاسازی نمودن کشف کرد؟ هر درخواستی از طریق جاسازی شده چگونه انجام می شود؟ آیا به نظر میرسد که کاربر به این وبسایت راه یابد؟