클라이언트 측 iframe을 추가 할 때의 보안

Question

아시다시피, Pagedown은 꽤 좋고 간단한 편집기이지만 그 기능을 확장하려고합니다. 지금까지 비디오 삽입 기능에 성공했으며 비디오를 추가 한 후에 미리보기 창에서 볼 수 있습니다. 분명히, 나는 그러한 행동을 허용하기 위해 iframe을 포함시켜야했지만, 나는 보안에 대해 조금 걱정했다.

iframe의 사용에 어떤 종류의 위험이 숨어 있는지 말해 줄 수 있습니까? 분명히, 유일한 목적은 사용자가 자신의 게시물이 어떻게 보이는지 보도록 허용하는 것이므로 클라이언트 측만 가능하지만 프레임을 사용할 때는 절대 알 수 없습니다.

예를 들어 일부 도메인 (YouTube)에서만 동영상을 허용하거나 심지어 보안 취약성을 노출해도 괜찮습니까? URL http://www.someaddress.com와 프레임에서 /// somethinglocaladdress : URL 파일과 프레임에 액세스 할 수

안전하지 않은 자바 스크립트 시도 : 그런데

, 구글 크롬은 저에게이 귀여운 경고를 제공합니다. 도메인, 프로토콜 및 포트가 일치해야합니다.

내가 염려해야 할 사항이 있나요?

업데이트 : 내 의견을 phpgeek에 알려주십시오. 나는 그의 제안을 다루고있는 것 같지만 나는이 일을 확실히하기 위해 더 많은 답변을 얻고 싶다.

감사합니다.

Answer 1

나는 이것이 당신이 너무 염려 할 필요가 있다고 생각하지 않습니다. 보안 - 구글에 관한

은

실제로 여기 설명에 꽤 좋은 일을했다 : http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html는

구글은 대부분의 다른 브라우저 (적어도 이전 버전)가 iframe이 보안을 처리하는 방법을 간략하게 설명 않습니다.

귀하의 질문이 주로 귀하의 서버와 관련된 보안 취약점과 관련이 있다면, 나는 이것이 문제가 될 것이라고 생각하지 않습니다.

또한이 페이지를 체크 아웃에 관심이있을 수 : http://code.google.com/p/browsersec/wiki/Part2#Origin_inheritance_rules

Answer 2

Google 교차 사이트 스크립팅 또는 xss. 하나의 프레임 내의 JavaScript는 부모를 포함한 다른 프레임에서 JavaScript를 가상으로 실행할 수 있다는 위험이 있습니다. 현대 브라우저는 어느 정도까지 자신을 막기 위해 설정되었으므로 크롬 내에서 경고가 표시됩니다.

저는 사용자에게이 기능을 제공하는 것에 대해 신중하게 생각합니다. 템플릿을 사용하고 사용자가 소스 URL을 제공하는 것이 더 낫습니다. 원하는 경우 도메인별로 동영상을 제한 할 수 있습니다. YouTube는 실수를하지 않으면 상위 프레임에서 실행되는 플레이어 템플릿을 제공하며 YouTube 동영상에서만 작동합니다. 사용자가 URL을 제공하고 게시물 외부의 DB에 추가하도록하십시오.