クライアント側のiframeを追加するセキュリティ

Question

ご存知の通り、Pagedownはとても素敵でシンプルなエディタですが、その機能を拡張したいと思います。これまでビデオを埋め込むことに成功したので、ビデオを追加した後、プレビューウィンドウで見ることができます。明らかに、このような動作を可能にするためにはiframeを含める必要がありましたが、私はそれをセキュリティ上の問題に少し気にしています。

iframeのこの使用の背後にはどんな危険性が潜んでいるのか教えてください。明らかに、唯一の目的は、ユーザーが自分の投稿がどのように見えるかを見ることができるようにすることです。これはクライアントサイドのみですが、フレームを使用するときは決してわかりません。

たとえば、一部のドメイン（YouTube）からのビデオのみを許可している場合や、セキュリティ上の脆弱性を露呈している場合でも問題ありませんか？ /// URL http://www.someaddress.comと フレームからsomethinglocaladdress：URL ファイルとフレームにアクセスするための

安全でないJavaScriptの試み：ところで

は、Google Chromeは私にこのかわいい警告を与えます。ドメイン、 プロトコルとポートが一致している必要があります。

これは何か（Google Chromeの警告）ですか？

更新日：私のコメントをphpgeekに通知します。私は彼の提案をカバーしているようだが、私はこのことを確実にするためにもっと答えを得たいと思う。

ありがとうございます！

Answer 1

これはあなたが心配する必要があるとは思わないです。 Googleのセキュリティにについて

は、実際にここでそれを説明するのはかなり良い仕事をした：http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html

Googleはまた、他のほとんどのブラウザは（少なくとも古いバージョン用）がiframeのセキュリティを扱う方法の概要を示しありません。

あなたの質問がお使いのサーバーに関連するセキュリティの脆弱性に主に関係する場合は、これは問題ではないと私は考えています。

また、このページをチェックアウトするに興味がある可能性がありますhttp://code.google.com/p/browsersec/wiki/Part2#Origin_inheritance_rules

Answer 2

Googleクロスサイトスクリプティングまたはxss。 1つのフレーム内のJavaScriptが、親を含む他のフレームでJavaScriptを仮想的に実行できるという危険性があります。現代のブラウザは、彼がクロームの中で警告を得た理由である程度彼を防ぐために設定されています。

私は本当にユーザーにこの能力を与えることについて慎重になるでしょう。テンプレートを使用して、ユーザーがソースのURLを提供する方が良いでしょう。必要に応じてドメイン単位でビデオを制限することができます。 YouTubeは間違ったことがなければ親フレームで動作するプレーヤーのテンプレートを提供しています。これはYouTubeの動画でのみ機能します。ユーザーがURLを提供し、投稿外のDBに追加するようにしてください。