Потенциал потенциальной атаки довольно широк, и единственная экономия - это то, к чему вы обратились в своем комментарии относительно сценария запрета DOM для одного домена, напрямую взаимодействующего с этим из другого (то есть, если iframe получает доступ к файлам cookie со страницы arent). Однако нет никакой гарантии, что «недоверенное» содержимое iframe само по себе не будет содержать никаких уязвимостей, включая XSS, которая может перезаписать содержимое фрейма.
Тогда, конечно, существуют различные уровни манипулирования браузером, которые может выполнять iframe, например, перенаправление страницы, что делает вас уязвимым для таких атак, как табуляции. Или iframe может просто обслуживать небольшой пакет вредоносных программ.
Проблема, связанная с наличием iframe с ненадежным сайтом, заключается в том, что для конечного пользователя он очень хорошо интегрирован и для любых целей и целей является частью вашего сайта . Помимо рисков безопасности, изложенных выше, вы будете восприниматься как ответственный за содержимое, и, учитывая его ненадежность, у вас нет уверенности в том, является ли этот контент нежелательным или нет.
Короче говоря, вы хотите быть достаточно уверенными в целостности страницы, которую вы загружаете в этот фрейм (т. Е. Кнопка Twitter или Facebook). Я, конечно, не позволю загружать произвольную пользовательскую страницу на общедоступный сайт.