#security #iframe #upload #hidden
#Безопасность #iframe #загрузка #скрытый
Вопрос:
Я загружаю файл на свой сервер, устанавливая для целевой формы невидимый iFrame на странице. iFrame создается и удаляется (путем установки тайм-аута) в самом обработчике нажатия кнопки загрузки.
Есть ли какая-либо причина, по которой я не должен использовать iFrame? Я спрашиваю, потому что слышал только плохое об iFrames. Мне нравится, как выглядит весь процесс загрузки, не перезагружая страницу.
Итак, есть ли какие-либо проблемы с безопасностью, о которых мне следует беспокоиться?
Спасибо,
Абхишек
Ответ №1:
IFrames используются для атак XSS (межсайтовый скриптинг).
Смотрите:
Комментарии:
1. Из обеих этих статей я понял, что фреймы могут использоваться «намеренно» кем-то, желающим причинить вред, но мой вопрос в том, использую ли я фрейм на своей странице, подвергаю ли я какую-либо угрозу. Я много просмотрел и вполне убежден, что iFrame можно использовать, не слишком беспокоясь. (Прочитайте последний комментарий в thespanner.co.uk/2007/10/24/iframes-security-summary )
2. Google использует iframes с их google_conversion_frame. Увы, я не знаю никаких подробностей о возможных дырах в безопасности.