- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
除了所有其他典型的安全最佳实践之外,我对此感到好奇,因为我最近读了一些文章,讨论浏览器扩展如何监视用户所做的任何事情。所以我们不应该相信他们。
因此,为了给用户提供额外的保护,我是否应该在网页内的 iframe 内处理所有用户凭据和敏感信息?
最佳答案
Can content inside a sandboxed iframe be read/spied by browser extensions?
是的
Could I use iframe to secure user credentials?
快速回答,不。
当用户安装 Chrome 扩展程序时,该扩展程序基本上可以在网站中执行任何操作来访问用户凭据。该扩展程序还可以访问页面生成的 iframe。
我提出的解决这两个问题并保持网站“安全”的解决方案如下:
如果最终目标是保护用户将在网站中放置的内容,并且您决不想让用户在页面中运行其他类型的扩展程序时放置内容,那么您可以放置的是页面中的某种弹出窗口会阻止用户访问,直到他访问没有扩展程序的网站为止。
您可以向用户建议的另一个解决方案是进入隐身模式,因为有很多选项可以禁止隐身模式下的扩展,而不必强制他卸载浏览器上的所有扩展。这也可能会让更少的用户离开您的页面,就好像您强制他卸载浏览器上的扩展程序一样,如果对他来说没有足够明确的理由,可能会让他离开您的页面。
如果您确实知道哪些扩展程序不应被阻止或阻止,因为它们有害或已知具有某种可疑行为,您可以做的是检查用户是否使用此解决方案 Checking if user has a certain extension installed 安装了它们,并且然后向他打印一条消息,说明他必须卸载这些扩展才能继续。
关于security - 浏览器扩展可以读取/监视沙盒 iframe 内的内容吗?如果不是,我应该使用 iframe 来保护用户凭据吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52129451/
我是一名优秀的程序员,十分优秀!