نوشته‌شده در

سیاست امنیتی محتوا – چگونه می توانم embedders embedders از iframe من را کنترل کنم؟

از هدرها ( X-Frame-Options با اجازه دهید از ... و Content-Security-Policy با فریم اجداد ) برای کنترل اینکه دامنههای شخص ثالث میتوانند iframe خود را جاسازی کنند.

اما دامنه دیگری می تواند آن دامنه را جاسازی کند، بنابراین حذف حفاظت clickjacking از این کنترل امنیتی حذف می شود.

چگونه می توانم کنترل کنم که چه کسی می تواند embedders را جاسازی کند؟

نوشته‌شده در

pci dss – آیا هیچ PCI iFrame API یا خدمات چارچوب وجود دارد؟

من از Infusionsoft برای پردازش سفارشات کارت اعتباری استفاده می کنم. متاسفانه آنها یک راه سازگار با PCI SAQ-A برای پردازش سفارشات در وب سایت ما نیستند.

همه آنها ارائه یک API مبتنی بر سرور برای اضافه کردن کارت است، که من نیاز به ارسال اطلاعات کارت اعتباری به سرور من . این متاسفانه من را به پیروی از PCI SAQ-D منتقل می کند.

من تعجب می کنم که آیا شرکت هایی وجود دارند که خدماتی را ارائه می دهند که بر انطباق PCI عمل کنند و سپس به من اجازه می دهند کد هایی را که با Infusionsoft ادغام شده اند و سپس iFrame را فراهم کنند.

من آن را تصور می کنم مثل این:

  • میزبان صفحات که فرم سفارش را شامل تمام زمینه ها به جز جزئیات کارت اعتباری
  • من IFrame را از سرور گفت و گو که در آن کاربر وارد جزئیات کارت اعتباری [19659006] هنگامی که کاربر دکمه سفارش را فشار می دهد وب سایت من یک درخواست ajax ایجاد می کند که در Infusionsoft تماس ایجاد می کند و contactId را باز می کند
  • پس از آن contactId را به iFrame می فرستد و می گوید آن را به اضافه کردن اطلاعات کارت وارد شده به Infusionsoft
  • iFrame پشت کارت ID
  • صفحه من با استفاده از ajax برای پردازش سفارش و اتهام آن با استفاده از کارت با cardId جدید

به این ترتیب سرور من هرگز اطلاعات کارت اعتباری را لمس نمی کند.

آیا سرویس مانند این exi هر چند؟

نوشته‌شده در

xss – حفاظت از وب سایت در برابر حملات با iframe برای جاوااسکریپت تولید شده توسط کاربر؟

من یک زمین بازی کوچک برای مردم برای نوشتن و تست جاوا اسکریپت در وب سایت من ایجاد میکنم. من می دانم که وبسایت هایی مانند jsfiddle در حال حاضر وجود دارد، اما فقط برای سرگرمی و برای تلاش برای چیزی جدید است.

اکنون می دانم که مردم می توانند سایت من را خیلی بد با XSS و چیزهای دیگر هک کنند، بنابراین من چند راه برای جلوگیری از ویرانی آوردم :

  1. به طور معمول، مردم جاوا اسکریپت و HTML خود را در یک فرم می نویسند. این متن خالص است هیچ چیز کارکردی نیست.

  2. وقتی میخواهید کد را آزمایش کنید، دادهها از www.A.com به www.B.com ارسال میشوند

  3. در این دامنه، دادهها به یک iframe با ویژگی sandbox در بدون گزینه "allow-top-navigation"

  4. سپس iframe به www.A.com فرستاده می شود

  5. www.A.com دریافت iframe و آن را به عنوان یک کودک به DOM اضافه می کند.

  6. کاربر می بیند iframe و می تواند با آن ارتباط برقرار کند.

آیا این به اندازه کافی امن است؟ یا من از دست رفته چیزی مهم است؟

نوشته‌شده در

جاوا اسکریپت – آیا می توان وب سایت با تزریق iframe هک شد؟

وبسایت من هک شده است. من مشاهده می کنم که هکر به سایت من دسترسی پیدا می کند. اگرچه با استفاده از bindparam برای جلوگیری از تزریق sql و محدودیت دسترسی مستقیم برای حمله پشتی ، تغییر هکرها من .php صفحه و اجرای اسکریپت خود را. S / او خط زیر را <iframe width = '1' height = '1' src = 'https: //www.youtube.com/embed/hKdyS_bgUbM؟ rel = 0 & autoplay = 1 & loop = 1 & playlist = RvpkUhrTmxY' در اسکریپت HTML ارسال شده خود.

من شک دارم که من تبدیل به قربانی xss حمله . بنابراین من در مورد احتمال حمله اسکریپت در گوگل جستجو کردم و در مورد تزریق iframe یافتم. و در یک ویدیو یوتیوب گفته شده است – اگر عرض و ارتفاع تویتر شما تغییر شود، تزریق فایرفاکس به راحتی قابل اجرا و هک می شود . آنچه او می گوید؟

من عنصر را از طریق بازرس موزیلا فایرفاکس بازرسی می کنم، عرض و ارتفاع iframe من می تواند در iframe live body تغییر و اعمال شود. آیا او در مورد پرونده من صحبت می کند؟ آیا وب سایت من توسط تزریق iframe هک شده است؟ اگر اینطور باشد، چگونه می توان از آن جلوگیری کرد. وب سایت من هنوز آسيبپذير است ، زيرا من فقط کد index.php خود را حذف کردم و بازگردانی index.php که هک شده بود، هیچ چیز تغییر نکرده است. لطفا کمک کنید.