私の小さなプラットフォームを開発者に公開したいので、開発者は私たちのサイトに iframe として挿入できるアプリケーションを構築できます。Facebook が行っているのと同様ですが、別の Facebook を構築しようとしているわけではありません:)。私が理解していることから、開発者は iframe を使用して Facebook アプリケーションを構築できます。
質問: Facebook ユーザーの観点からセキュリティについてはどうなのか知りたいです。アプリケーション開発者がマルウェアの JavaScript コードを iframe 内に配置しないことを Facebook が防止する方法。そのようなものをiframeに含めることを自動的に防ぐメカニズムに気づいていません。
tnx
いいえ、これはまったく問題ではありません。あなたは何も心配していないと思います。
自分で心配する必要があるセキュリティ上の問題はありません。iframe に読み込まれたページはサンドボックス化され、ブラウザによって「保護」されています。2 つの iframe は同じドメインを共有していないため、相互に通信することさえできません。2 つのフレームのドメインが異なる場合、最近のブラウザーは別のフレームで JavaScript コードを実行しようとするとブロックされます。
facebook が行ったことは、この問題を回避することでした。facebook の各 iframe アプリはfacebook javascript sdkをロードし、ネストされた iframe が facebook にリクエストを送信し、データが返されたときに (コールバックによって) 通知されるようにします。
「ブラウザ経由でユーザーのコンピュータを攻撃する iframe 内のマルウェア JavaScript コード」に関しては、iframe には他のブラウザ ページと同じようにブラウザによって適用されるセキュリティ ポリシーがまったく同じです。 、および facebook は、他のセキュリティ対策を実施していません。
心配する必要があるのは、iframe 内のスクリプトがスクリプトや dom にアクセスできることだけです。これは、それらを許可するメカニズムを作成しない限り発生しないはずです (何らかの方法でクロスドメイン ポリシーをバイパスします)。