У нас есть дочерний iframe (3-я сторона), который хочет общаться с родителем (раздел моей учетной записи). Iframe отправляет идентификатор Facebook и получает номер телефона зарегистрированного пользователя. Если мы будем следовать всем контрольным пунктам безопасности сообщений, таких как:
- настройка targetOrigin на обеих сторонах
- проверка event.origin как для iframe, так и для родителя
- очистить входные данные, чтобы запретить xss-атаки (теги скрипта)
- проверка наличия сообщений в определенном формате (json и с некоторыми определенными ключами)
- проверка подлинности пользователя на родительской стороне
Существуют ли какие-либо другие проблемы безопасности, которые могут сделать этот метод непригодным для отправки конфиденциальных данных клиентов?