Безопасность добавления клиентского iframe

Question

Как вы, наверное, знаете, Pagedown - довольно приятный и простой редактор, но я хочу расширить его функциональность. Пока что мне удалось сделать это в отношении встраивания видео, поэтому после добавления видео вы можете увидеть его в окне предварительного просмотра. Очевидно, я должен был включить iframe, чтобы разрешить такое поведение, однако я немного обеспокоен этим с точки зрения безопасности.

Можете ли вы сказать мне, какие опасности скрываются за этим использованием iframe ?. Очевидно, что единственная цель - дать пользователям возможность увидеть, как будет выглядеть его / ее сообщение, так что это только на стороне клиента, но вы никогда не узнаете, когда используете фреймы.

Например, было бы хорошо, если бы я разрешил видео только с некоторых доменов (YouTube) или даже с уязвимостью в безопасности?

Кстати, Google Chrome дает мне это милое предупреждение:

Небезопасная попытка JavaScript получить доступ к фрейму с URL file: /// somelocaladdress from фрейм с URL http://www.someaddress.com. Домены, протоколы и порты должны совпадать.

Меня это должно беспокоить (предупреждение Google Chrome)?

ОБНОВЛЕНИЕ : Обратите внимание на мой комментарий к phpgeek. Кажется, я освещаю его предложения, но я хотел бы получить больше ответов, чтобы убедиться, что я делаю это правильно.

Спасибо!

Answer 1

Я не думаю, что это то, о чем вам нужно беспокоиться.

Что касается безопасности, Google действительно довольно хорошо объяснил это здесь: http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html

Google также обрисовывает в общих чертах, как большинство других браузеров обрабатывают там безопасность iframe (по крайней мере, для более старых версий).

Кроме этого, если ваш вопрос в основном касается уязвимостей безопасности, связанных с вашим сервером, я не думаю, что это создает проблему.

Вам также может быть интересно проверить эту страницу: http://code.google.com/p/browsersec/wiki/Part2#Origin_inheritance_rules

Answer 2

межсайтовый скриптинг в Google или xss. Опасность заключается в том, что JavaScript в одном кадре может гипотетически влиять на JavaScript в других кадрах, включая родительский. современные браузеры настроены таким образом, чтобы предотвратить его, поэтому вы получили предупреждение в Chrome.

Я бы очень внимательно отнесся к предоставлению пользователям этой возможности. вам лучше использовать шаблон и попросить пользователей предоставить URL для источника. Вы можете ограничить количество видео по доменам, если хотите. YouTube предоставляет шаблон для своего плеера, который будет работать на родительском фрейме, если я не ошибаюсь, и он будет работать только с видео YouTube. просто попросите пользователей указать URL и добавить его в свою базу данных вне поста