我有一个一般性问题,我想了解一些信息。
我有一个服务器,在该服务器上我有一个提交到 API 的 Web 表单。
第三方公司有服务器,他们需要托管我的表单。 因此,他们将我的表单嵌入到他们的页面中。
第三方公司是否有任何可能的方式来获取 iframe 中包含的表单中输入的数据? 他们的 Apache 日志会记录数据吗? 他们可以在服务器上做一些可以帮助他们获取数据的事情吗?
我的服务器是安全的,它不允许 CORS 或任何此类内容。 问题是他们是否可以做任何事情来获取输入的数据?
否则无法访问 iframe 的内容,因为它不在他们的域中。
是的他们可以欺骗用户窃取输入:显示一些看起来像你的iframe但由他们控制的东西,或者使用点击劫持。
并且,如果他们使用 http,即使您的 iframe 使用 https,攻击者也可以这样做并窃取他们的数据。
更正,任何用户都可以在开发工具中访问跨域 iframe 的内容。在 Chrome 的控制台选项卡中,可以选择 JavaScript 执行的上下文。通过选择 IFrame 作为上下文,用户可以直接在 iframe 呈现的窗口内进行操作并访问其所有内容。