我想向开发人员开放我的小型平台,以便他们可以构建可以作为iframe插入我们网站的应用程序。与facebook相似,但不,我不是在尝试建立另一个Facebook :)。据我了解,开发人员可以使用iframe构建Facebook应用程序。
问题:我想知道从Facebook用户角度看安全性如何。 Facebook如何防止应用程序开发人员不在iframe中放置恶意软件javascript代码。我还没有注意到任何自动机制可以阻止在iframe中包含类似内容。
tnx
不,这根本不是问题,我认为您什么都不担心。
您无需担心自己的安全问题,iframe中已加载的页面已被沙箱化,并且由浏览器“保护”。这两个iframe甚至无法相互通信,因为它们没有共享相同的域,并且如果两个框架具有不同的域,现代浏览器将阻止任何尝试在另一个框架中执行javascript代码。
facebook要做的是解决该问题,facebook中的每个iframe应用程序都加载了facebook javascript sdk,这使嵌套的iframe能够向Facebook发出请求,并在数据返回时得到通知(通过回调)。
关于“ iframe中的恶意软件javascript代码通过浏览器攻击用户计算机”,该iframe具有与其他任何浏览器页面一样由浏览器强制执行的完全相同的安全策略,如果有人设法以某种方式绕过了这些策略,那么在哪里它已加载,facebook没有执行任何其他安全措施。
您唯一需要担心的是,iframe中的脚本将能够访问您的脚本和/或dom,除非您创建了一种可以让它们(以某种方式绕过跨域策略)的机制,否则这不会发生。
但是,facebook服务器将向我们的网站发出HTTP POST请求,并显示结果。为此,我在Nginx Web服务器中收到以下错误。405不允许
为此,我需要通过Nginx Web服务器通过POST允许静态内容。如下所示。
位置/ {根html;index index.html index.htm;}
# To allow POST on static pages error_page 405 =200 $uri;
此代码在Nginx中允许使用是否会引起任何安全风险,例如攻击者将POST请求注入网站?