security - 沙盒 iframe 中的内容可以被浏览器扩展读取/监视吗?如果不是,我应该使用 iframe 来保护用户凭据吗?
问题描述
除了所有其他典型的安全最佳实践之外,我对此感到疑惑,因为我最近阅读了一些关于浏览器扩展如何监视用户所做的任何事情的文章。所以我们不应该相信他们。
因此,为了给用户和额外的保护层,我应该在我的网页内的 iframe 内处理所有用户的凭据和敏感信息吗?
解决方案
沙盒 iframe 中的内容可以被浏览器扩展读取/监视吗?
是的
我可以使用 iframe 来保护用户凭据吗?
快速回答,没有。
当用户安装 chrome 扩展程序时,该扩展程序基本上可以在网站上执行任何操作来访问用户凭据。该扩展程序还可以访问页面生成的 iframe。
我提出的解决这两个问题并保持网站“安全”的解决方案如下:
如果最终目标是保护您的用户将在网站中放置的内容,并且如果页面中运行其他类型的扩展程序,您绝不想让用户放置内容,那么您可以放置某种在页面中弹出阻止用户访问,直到他访问没有扩展的网站。
您可以向用户建议的另一个解决方案是进入隐身模式,因为有很多选项可以禁止隐身扩展,而不必强制他卸载浏览器上的所有扩展。这也可能使更少的用户离开您的页面,就好像您强迫他卸载浏览器上的扩展程序一样,如果这对他来说不是一个足够清楚的理由,这可能会让他离开您的页面。
如果您确实知道哪些扩展程序不应该被阻止或阻止,因为它们是有害的或已知具有某种不正当行为,您可以做的是检查用户是否使用此解决方案安装了它们检查用户是否有安装了某些扩展,然后向他打印一条消息,说他在卸载这些扩展之前无法继续。
推荐阅读
- html - 如何在没有多个函数的情况下显示多个 CountAPI 值
- java - 打包的 Spring Boot 应用程序不会将其余 api 错误解析为消息
- javascript - 如何让幻灯片默认显示?
- python - python中的plt.hist函数没有显示正确的指数分布
- pandas - 如何对 Ames Housing 数据集中的两个类别进行列转换?
- sql - 如何返回前 x 不同的销售额总和?
- api - 当 return_type=popular 时,Twitter API v1.1 不返回主题标签。如何得到它们?
- visual-studio-code - 如何在 VSCode 编辑器上方添加内容
- javascript - React 中的图像数据在哪里?
- node.js - 为什么 Tenor GIF 会在嵌入中产生 Discord 便便图像?