我假设跨域iFrame,因为如果您自己控制它,可能会降低风险。
我一直试图自己解决这个问题
- 如果您的网站包含为iframe
,则Clickjacking / XSS会出现问题
- 受感染的iFrame可能会显示恶意内容(想象一下iFrame会显示一个登录框而非广告)
- 包含的iframe可以使某些JS调用如警报和提示,这可能会惹恼您的用户
- 包含的iframe可以通过location.href重定向(yikes,想象一个3p框架将客户从bankofamerica.com重定向到bankofamerica.fake.com)
- 3p框架内的恶意软件(java / flash / activeX)可能会感染您的用户
请注意,如果您的浏览器支持html5“sandbox”属性可以解决很多这些问题,并且您可以通过X-FRAME-OPTIONS阻止您的网站作为iFrame包含。