背景: 主に HTTP 経由で提供される Web アプリがあります example.com、example.com/faq などはすべて HTTP 経由で提供されます。これらのページはアプリに関する公開情報を提供し、ユーザーがログインするとhttps://example.com/accountに移動します。/account ページは常に SSL (HTTPS) 経由で提供されます。注: HTTPS 経由ですべてを提供できますが、待ち時間が遅くなり、ユーザー エクスペリエンスが損なわれます。
IFRAME: ここで iframe の出番です。/account ページは安全な Cookie を使用してユーザー データ (セッション ID、ユーザー名、ユーザー スコア、最新のユーザー アクション) を保存します。ユーザーが HTTP ページにいる場合)。そのため、次を含むhttps://example.com/account/updateを指すすべての HTTP ページに 1px の非表示の iframe を埋め込みました。
<html>
<head>
<title>
KEEP APP UPDATED
</title>
<script>
(Include jQuery)
setInterval(function(){$ajax('https://example.com/account/update/latest-user-data')}, 5000);
<script>
</head>
<body>
</body>
</html>
この iframe を許可するには、このページのサーバーで X-FRAME-OPTIONS を無効にする必要があることに注意してください。
質問: これにはセキュリティ上の問題はありますか? クリックジャッキングは大きな脅威ですか? さらに重要なことに、攻撃者はこれらの安全な Cookie にアクセスしたり、iframe で実行されている iframe Javascript 変数などにアクセスしたりできますか?