IFrameセキュリティとCORS

Question

私は少しの情報を得ようとする一般的な質問があります。

私はサーバーを持っており、このサーバー上に私はAPIに提出するWebフォームを持っています。

サードパーティの企業にサーバーがあり、自分のフォームをホストする必要があります。したがって、彼らは私のフォームを自分のページにIFrameします。

iframeに含まれるフォームに入力されたデータをサードパーティの企業が入手する方法はありますか？ Apacheログにデータが記録されますか？彼らはデータを手に入れることができるサーバー上で何かできますか？

私のサーバーは安全で、CORSなど何かを許可していません。問題は、入力されたデータを得るために何かを行うことができるかどうかです。

Answer 1

いいえドメイン内にないため、iframeのコンテンツにアクセスできません。

はい彼らは、入力を盗むためにユーザーをだますことができます。はあなたのiframeのように見えますが、それらによって制御されているものを表示する、またはClickjackingを使用しています。

そして、彼らはHTTPを使用している場合でも、あなたのiframeを使用します。https場合、攻撃者はそのあまりにを行い、そのデータを盗むことができます。