小さなプラットフォームを開発者に公開したいので、私たちのサイトにiframeとして挿入できるアプリケーションを構築できます。 Facebookと同じようなものですが、別のFacebookを構築しようとしていません。私が知っていることから、開発者はiframeを使用してFacebookアプリケーションを構築できます。Facebookのキャンバスのiframeとセキュリティ
質問:私はFacebookのユーザーの視点からセキュリティについてどう考えているのですか? Facebookがどのようにアプリケーション開発者がマルウェアのJavaScriptコードをiframeの中に入れないのか私はiframeのようなものを含めないようにする自動的なメカニズムに気づいていません。
TNX
ありませんが、これは全く問題ではありません、私はあなたが何のために心配していると思います。
あなた自身を気にする必要のないセキュリティ上の問題はありません。iframe内の読み込まれたページはサンドボックスされており、ブラウザによって保護されています。 2つのフレームが同じドメインを共有していないため、2つのiframeは互いに通信することさえできません。また、2つのフレームが異なるドメインを持つ場合、最新のブラウザは別のフレームでjavascriptコードを実行しようとする試みをブロックします。
facebookの各iframeアプリは、facebook javascript sdkを読み込み、ネストされたiframeがFacebookにリクエストを行い、データが返ってくると(コールバックによって)通知されるようにしました。
「iframe内の不正なブラウザのJavaScriptコードがブラウザを介してユーザーのコンピュータを攻撃する」として、iframeには他のブラウザのページと同じ厳密なセキュリティポリシーが適用されています。それがロードされている場所の違い、そしてFacebookが他のセキュリティ手段を強制していないということです。
あなたが心配する必要がある唯一の事は、iframe内のスクリプトがあなたのスクリプトやDOMにアクセスできるようになることです。ポリシー)。
あなたの答えをありがとう。しかし、私があなたを理解しているかどうかはわかりません。あなたは言った: "現代のブラウザは、2つのフレームのドメインが異なる場合、別のフレームでjavascriptコードを実行しようとする試みをブロックします。私のページ
サードパーティがトゥードをしようと心配していることの例はありますか? – nav
彼らはブラウザを介してユーザーのコンピュータを攻撃するためにiframeの中にマルウェアのJavaScriptコードを置くことができます。キャンバスのiframeアプリケーションは誰でも開発できるので、FBがこれをどのように防ぐのかはわかりません。 – user1324762