c# - iframe 在安全的门户应用程序中加载内部应用程序
问题描述
作为一名软件开发人员,已经提出了一个迁移当前门户应用程序的项目。该门户允许用户登录,一旦登录,他们就会提供一系列不同的应用程序,他们可以从菜单中进行选择。门户应用程序是用 .aspx 网络表单编写的。菜单中的应用程序也是 .aspx 网络表单。加载应用程序后,菜单控件将随应用程序一起加载。
提议的解决方案是创建一个新的门户应用程序,并将使用 .net 核心以及身份来编写,以提供安全的登录功能并遵守最佳实践等。
使用 MVC / .net core / bootstrap 编写的应用程序以创建移动优先驱动环境。用户登录后,菜单会加载一次,我正在努力寻找将应用程序加载到响应式 iframe 的解决方案。允许将应用程序加载到 iframe 将允许在未来几个月内逐步将 webform 应用程序迁移到 MVC 格式。
我读过关于 iframe 的混合评论?但没有任何证据表明它们可以在内部托管应用程序中安全使用。托管的内部应用程序将允许成员用户登录并查看他们的特定应用程序。我读过的东西也说它们是安全的等,但没有什么具体的。
我需要找到 iframe 在 PCI/安全/点击劫持方面是安全的证据。我需要什么才能使包含 iframe 的 .core 应用程序尽可能安全?再次重申,提议的应用程序门户将托管在 SSL 下,一旦登录将包含 iframe,然后将托管的内部应用程序加载到 iframe 中。如果我要使用 iframe 解决方案,那么我应该怎么做才能确保一切安全?什么是 iframe 的替代方法来成功加载内部应用程序。再次阅读所有内容后,我相信 div 元素将无法工作,因为加载的应用程序在不同版本下具有独立的 jquery。同样在 iframe 中,回发过程可以毫无问题地进行。
任何其他建议或意见将不胜感激?谢谢。
解决方案
一般来说,由于同源策略,iFrame 可以免受客户端脚本攻击
因此,如果您想查看它们是否足够安全以满足您的需求,我建议您寻找绕过此政策的方法。一个快速的谷歌显示了这个问题,询问解决它的方法。
推荐阅读
- c# - WebApplicationFactory 在另一个项目目录中使用 Startup.Cs
- html - 更改按钮高度时如何使文本始终保持水平居中
- c# - 跟踪静态字典中的任务并等待在单独的请求线程中启动的任务是安全的吗?
- c++ - WSL 中的 g++ 创建了一个不可删除的文件
- angular - 如何使用构造函数将 Asp.Net Core DateTime 转换为 Angular Date?
- jenkins - Post-build Actions 部分看不到注入的环境变量
- javascript - JavaScript“String.fromCharCode”返回的字符集与 Python 的“chr”函数不同
- java - 拿起_JAVA_OPTIONS:_Xmx2048M无法识别的选项:_Xmx2048M Minecraft服务器
- java - 同步块有一个逻辑
- java - 使用线程按顺序显示字符串后应用程序崩溃