1

ブランドページ用のFacebookアプリを作成したいと考えています。このページでは、私たちが所有する安全なドメインからフォームが取り込まれます。しかし、私たちの財務部門は、iFrame で可能な「クロス フレーム スクリプティング」攻撃のために、これを許可することを望まないようです。

多くの大企業は FB 内にアプリを持ち、ユーザー データを収集しています。FB がこのように安全でないコードを許可するとは思えません。FB がそのようなリスクをどのように管理しているかについて話しているサイトを探しています。このリスクを管理するにはどうすればよいでしょうか? 私たちのコンテンツが私たち自身の安全なサーバーから来ている場合、FB はたまたま何かを行う場所であり、実際のセキュリティは私たちにかかっているというのは本当ではないでしょうか?

財務部門の留保に反論する考えや、この件について詳しく読むための指針を歓迎します。この件に関して、FB自身の助けはまばらです。

ありがとう!

4

2 に答える 2

1

クロスフレーム スクリプティングは、クロスサイト スクリプティング (XSS) の脆弱性を悪用する方法です。Web アプリケーションがテストされ、XSS 脆弱性の影響を受けないことが判明した場合、クロスフレーム スクリプティングは問題ではありません。

Same Origin Policy と、それが iframe をどのように扱うかについて読みたいと思うかもしれません。補足として、XSS は同一オリジン ポリシーをバイパスできるため、攻撃者にとって便利です。

iframe コンテンツを許可するサイトでは、クリックジャッキングを心配する必要があります。XSS のような非常に一般的な Web アプリケーションの脆弱性に慣れていない場合は、OWASP のトップ 10 を必ずお読みください。

于 2013-01-19T18:02:01.650 に答える
0
于 2013-01-19T18:41:55.190 に答える