我有一个网站在一个页面中使用IFrame,该页面根据服务器端逻辑加载其他页面。所以,如果我做一个View源代码,我会看到这样的东西:
<iframe src="DeterminedOnServerSide.aspx" id="myFrame">
</iframe>
我的问题是 - 有没有办法,攻击者可以更改src属性,将其他用户指向恶意网站,考虑到服务器端确定了src?
答案 0 :(得分:1)
是或否。您尚未指定如何确定“DeterminedOnServerSide.aspx”。如果您的代码由DeterminedOnServerSide = Server.Request["frame"]组成,那么它可以明显被“黑客攻击”。如果您使用的方法确保只选择了有效的网址,那么它就不容易受到攻击。
答案 1 :(得分:0)
使用IFRAME“包含”的页面可以导航到新页面,更改源。
该站点的任何用户都可以使用Firebug和IE Developer Tools等开发人员工具更改IFrame的src值
中间攻击中任何一个成功的人都可以更改你所有的html源代码,包括src属性。如果攻击者控制您的客户和服务器之间的代理或网络,他们可以更改您的任何html,包括src属性。
任何对服务器的攻击都可以改变所有源代码并更改属性。
你在想什么黑客?您应该只对您信任的人/站点进行iframe,因为这是跨站点脚本攻击的常用方法。
答案 2 :(得分:0)
不,除非他们已经破坏了您的服务器并且可以访问和修改这些源文件。而 if 就是这种情况,更改iframe中的'src'属性是您最不担心的。
答案 3 :(得分:0)
是。 XSS攻击具有更改iFrame的src的能力。
检查出来:http://research.zscaler.com/2009/12/xss-embedded-iframes.html
答案 4 :(得分:0)
更改iframe(或网站上的任何内容)的src属性的唯一方法是: