কেন ইফ্রেমকে বিপজ্জনক এবং সুরক্ষা ঝুঁকি হিসাবে বিবেচনা করা হয়? কেউ এমন কোনও মামলার উদাহরণ বর্ণনা করতে পারে যেখানে এটি দূষিতভাবে ব্যবহার করা যেতে পারে?
কেন ইফ্রেমকে বিপজ্জনক এবং সুরক্ষা ঝুঁকি হিসাবে বিবেচনা করা হয়? কেউ এমন কোনও মামলার উদাহরণ বর্ণনা করতে পারে যেখানে এটি দূষিতভাবে ব্যবহার করা যেতে পারে?
উত্তর:
আপনি অন্য ডোমেন থেকে সামগ্রী প্রদর্শন করার সাথে সাথে আপনি মূলত সেই ডোমেনটিকে মেলওয়্যার পরিবেশন না করার জন্য বিশ্বাস করছেন।
প্রতি সেফায় iframes নিয়ে কোনও ভুল নেই। আপনি যদি ইফ্রেমের সামগ্রীটি নিয়ন্ত্রণ করেন তবে তারা পুরোপুরি নিরাপদ।
<iframe>
উপাদান থাকা একটিতে ) উপযুক্ত স্টাইলিং থাকে এবং যদি ইফ্রেমে অবিশ্বস্ত সামগ্রী থাকে তবে সেগুলিতে কোনও সমস্যা নেই। অবশ্যই ব্রাউজারে মডুলোর আসল দুর্বলতা। সংক্ষেপে, একটি <iframe>
প্রায় হিসাবে নিরাপদ <a href>
।
<iframe>
যদি লুকানো আইফ্রেমের অভ্যন্তরের সামগ্রীটি আক্রমণকারী দ্বারা পরিবর্তন করা যায় তবে একই ডোমেন থেকে লুকানো সুরক্ষা ঝুঁকির কারণ হতে পারে। এটি আক্রমণকারীকে <iframe>
আপনার সাইটের কোনও পৃষ্ঠায় লুকানো থাকা ভিতরে থাকা এক্সএসএস আক্রমণটিকে প্রসারিত করতে অনুমতি দেবে যা বলে <iframe>
ডি কন্টেন্টকে বোঝায় । বিশদ জানতে stackoverflow.com/a/9428051/334451 দেখুন ।
IFRAME
উপাদান একটি নিরাপত্তা ঝুঁকি হতে পারে যদি আপনার সাইটে একটি ভিতরে এমবেড করা হয় IFRAME
প্রতিকূল সাইটে । গুগল আরও তথ্যের জন্য "ক্লিকজ্যাকিং"। দ্রষ্টব্য যে আপনি ব্যবহার <iframe>
বা না ব্যবহার করে তা বিবেচ্য নয়। এই আক্রমণ থেকে একমাত্র আসল সুরক্ষা হ'ল এইচটিটিপি শিরোনাম যুক্ত করাX-Frame-Options: DENY
এবং আশা করা যায় যে ব্রাউজারটি তার কাজটি জানে।
তদ্ব্যতীত , যদি আপনার সাইটের কোনও পৃষ্ঠায় কোনও এক্সএসএস দুর্বলতা থাকে তবে এটি ব্যবহার করা যেতে পারে তবে আইফ্রাম উপাদানটি সুরক্ষা ঝুঁকিপূর্ণ হতে পারে । সেক্ষেত্রে আক্রমণকারী এক্সএসএস আক্রমণটিকে একই ডোমেনের যে কোনও পৃষ্ঠায় প্রসারিত করতে পারে <iframe>
যা এক্সএসএস দুর্বলতার সাথে পৃষ্ঠায় থাকা কোনও পৃষ্ঠাতে লোড করতে রাজি করা যেতে পারে । কারণ একই উত্স (একই ডোমেন) থেকে প্রাপ্ত সামগ্রীকে প্যারেন্ট সামগ্রী DOM অ্যাক্সেস করার অনুমতি দেওয়া হয় ("হোস্ট" নথিটিতে কার্যত জাভাস্ক্রিপ্ট চালানো হয়)। এই আক্রমণ থেকে একমাত্র আসল সুরক্ষা পদ্ধতি হ'ল এইচটিটিপি শিরোনাম যুক্ত করা X-Frame-Options: DENY
এবং / অথবা সর্বদা সঠিকভাবে সমস্ত ব্যবহারকারীর জমা দেওয়া ডেটা এনকোড করা (যা আপনার সাইটে কখনও এক্সএসএস দুর্বলতা নেই - সম্পন্ন করার চেয়ে সহজ বলা হয়েছে)।
এটি ইস্যুটির প্রযুক্তিগত দিক। এছাড়াও, ব্যবহারকারীর ইন্টারফেসের সমস্যা রয়েছে। যদি আপনি আপনার ব্যবহারকারীদের বিশ্বাস করতে শেখেন যে লিঙ্কগুলি ক্লিক করার সময় ইউআরএল বারটি পরিবর্তন করা উচিত নয় (যেমন আপনার সাইটটি সমস্ত প্রকৃত সামগ্রীর সাথে একটি বড় আইফ্রেম ব্যবহার করে), তবে প্রকৃত সুরক্ষার ক্ষেত্রে ব্যবহারকারীরা ভবিষ্যতে কিছুই লক্ষ্য করবেন না দুর্বলতার। উদাহরণস্বরূপ, আপনার সাইটের মধ্যে আপনার কাছে একটি এক্সএসএস দুর্বলতা থাকতে পারে যা আক্রমণকারীকে আপনার আইফ্রেমের মধ্যে প্রতিকূল উত্স থেকে সামগ্রী লোড করতে দেয়। কেউই তফাতটি বলতে পারেনি কারণ URL বারটি এখনও পূর্বের আচরণের সাথে অভিন্ন দেখায় (কখনও পরিবর্তিত হয় না) এবং সামগ্রীটি ব্যবহারকারীর শংসাপত্রগুলির অনুরোধ বৈরী ডোমেনের হয়েও "দেখায়" বৈধ।
যদি কেউ দাবি করে যে <iframe>
আপনার সাইটে কোনও উপাদান ব্যবহার করা বিপজ্জনক এবং সুরক্ষার ঝুঁকির কারণ হয়ে দাঁড়ায়, তবে তিনি কী <iframe>
উপাদানটি করেন তা বুঝতে পারেন না বা তিনি <iframe>
ব্রাউজারগুলিতে সম্পর্কিত দুর্বলতার সম্ভাবনা সম্পর্কে কথা বলছেন । <iframe src="...">
ট্যাগের সুরক্ষা সমান <img src="..."
বা <a href="...">
যতক্ষণ না ব্রাউজারে কোনও দুর্বলতা নেই। এবং যদি কোনও উপযুক্ত দুর্বলতা থাকে তবে এটি <iframe>
, <img>
বা <a>
উপাদান ব্যবহার না করেও এটি ট্রিগার করা সম্ভব হতে পারে , সুতরাং এই সমস্যাটির জন্য এটি বিবেচনার জন্য উপযুক্ত নয়।
তবে, সাবধান করে নিন যে এর থেকে প্রাপ্ত সামগ্রী <iframe>
ডিফল্টরূপে শীর্ষ স্তরের নেভিগেশন শুরু করতে পারে । এটি হ'ল, এর মধ্যে থাকা সামগ্রীতে <iframe>
স্বয়ংক্রিয়ভাবে বর্তমান পৃষ্ঠার অবস্থানের উপরে একটি লিঙ্ক খোলার অনুমতি দেওয়া হয়েছে (নতুন অবস্থান ঠিকানা বারে দৃশ্যমান হবে)। এড়ানোর একমাত্র উপায় হ'ল sandbox
মান ব্যতীত গুণাবলী যুক্ত করা allow-top-navigation
। উদাহরণস্বরূপ <iframe sandbox="allow-forms allow-scripts" ...>
,। দুর্ভাগ্যক্রমে, স্যান্ডবক্স সর্বদা সমস্ত প্লাগইন অক্ষম করে। উদাহরণস্বরূপ, ইউটিউব সামগ্রীটি স্যান্ডবক্স করা যাবে না কারণ এখনও সমস্ত ইউটিউব সামগ্রী দেখতে ফ্ল্যাশ প্লেয়ারের প্রয়োজন। কোনও ব্রাউজার একই সাথে প্লাগিনগুলি ব্যবহার এবং শীর্ষ স্তরের নেভিগেশনটিকে অস্বীকার করার পক্ষে সমর্থন করে না।
মনে রাখবেন যে X-Frame-Options: DENY
পারফরম্যান্স পার্শ্ব-চ্যানেল আক্রমণকে রেন্ডারিং থেকে সুরক্ষা দেয় যা সামগ্রী ক্রস-অরিজিন (" পিক্সেল পারফেক্ট টাইমিং অ্যাটাকস " নামে পরিচিত ) পড়তে পারে ।
"This is because content from the same origin (same domain) is allowed to access the parent content DOM (practically execute JavaScript in the "host" document)."
আইফ্রেমে (সন্তানের) নথিতে একটি এক্সএসএস দুর্বলতা সম্বলিত (পিতা-মাতা) নথির দিকনির্দেশে পুনরায় প্রতিস্থাপন করা উচিত নয় ?
<iframe>
কোনও পৃষ্ঠায় ব্যবহার করেন তবে এটি আইফ্রেমের মধ্যে থাকা সামগ্রী থেকে হোস্ট ডকুমেন্ট পর্যন্ত দুর্বলতা বাড়িয়ে তোলে । প্রশ্নটি <iframe>
বিপজ্জনক হওয়ার বিষয়ে ছিল এবং হোস্ট নথিতে যদি XSS দুর্বলতা থাকে তবে আপনার সত্যিকারের <iframe>
উপাদানটির প্রয়োজন নেই ।
আমি ক্রস-ডোমেন আইফ্রেম ধরে নিচ্ছি যেহেতু সম্ভবত আপনি নিজেরাই এটি নিয়ন্ত্রণ করলে ঝুঁকি কম হবে would
আইফ্রেমে ক্রস ফ্রেম স্ক্রিপ্টিংয়ের পক্ষেও ঝুঁকিপূর্ণ: