Каковы риски безопасности и возможные превентивные меры при использовании iframe для отображения внешнего контента?

Question

Я создаю веб-приложение PHP для компании A, в котором пользователи могут войти в систему и управлять определенными элементами в своем инвентаре.Я хочу разместить это приложение самостоятельно по таким причинам, как техническое обслуживание, чтобы убедиться, что серверы соответствуют ожидаемым стандартам производительности, а также потому, что компании B или C могут также захотеть такую ​​же услугу.

Компания A (также B и C) хочет, чтобы это приложение было доступно с их подстраницы в их домене.Я рассмотрел возможности переписывания и связывания URL-адресов, но я решил использовать iframes для отображения приложения на их веб-сайте.

Я раньше использовал iframes, но никогда при работе с личными данными, поэтомуя не очень знаком с рисками безопасности, связанными с использованием фреймов.Многие примеры, которые я обнаружил после поиска в Google, были связаны с рисками, связанными с хакерами, добавляющими iframe со своим собственным назначением в существующий код, в отличие от вредного использования существующего.На что мне обратить внимание и попытаться предотвратить это?

В случае, если я полностью не согласен с этим, какой другой метод я могу использовать вместо iframes?Учитывая вышеперечисленные требования конечно.

Answer 1

Для начала лучше всего использовать поддомен, указывающий на сервер, на котором размещено приложение. Таким образом, компания А может иметь свой обычный веб-сайт на companya.com, но иметь приложение на app.companya.com.

Что касается кадров, я не думаю, что в вашей ситуации есть какие-то "риски" безопасности, о которых нужно беспокоиться. Iframe будет принадлежать вам, и вы управляете им. Политика одинакового происхождения Javascript запрещает доступ к фреймам в разных доменах (и поддоменах, если не установлено document.domain). Так что iframe не сможет получить доступ к родителю и наоборот.

Однако я предполагаю, что приложение является автономным и не полагается ни на что из родительского сайта. В этом случае все будет происходить в кадре, и кадрам не нужно будет каким-либо образом взаимодействовать.

Недостаток фреймов, конечно, заключается в том, что видимый URL-адрес и заголовок страницы останутся неизменными при загрузке новых страниц в iframe, что плохо для удобства использования (и плохо для SEO, если это вызывает озабоченность).