开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

了解第三方iframe的安全性？

了解第三方iframe的安全性是一个非常重要的问题，因为在使用第三方内容时，可能会面临安全风险。下面是关于第三方iframe的安全性的一些建议和注意事项：

安全隔离：第三方iframe可以在不同的域名下运行，这有助于隔离不同的应用程序，防止潜在的安全问题影响到其他应用程序。
内容安全策略（CSP）：使用内容安全策略可以限制第三方iframe中可以加载的内容类型，从而降低安全风险。
限制iframe的来源：可以通过设置X-Frame-Options响应头来限制哪些域名可以将您的网站嵌入到iframe中。
使用HTTPS：确保第三方iframe使用HTTPS协议，以防止中间人攻击。
遵循同源策略：在允许第三方iframe时，确保遵循同源策略，以防止跨站脚本攻击（XSS）。
限制iframe的大小和位置：确保第三方iframe不会覆盖您的网站的重要内容，并且不会被用于恶意行为。
定期更新和检查第三方库和插件：确保您使用的第三方库和插件是最新的，并定期检查是否有安全更新。
监控和记录：监控第三方iframe的行为，并记录可能的安全事件，以便在发生安全问题时可以快速响应。

总之，在使用第三方iframe时，需要谨慎评估安全风险，并采取相应的安全措施来保护用户数据和网站的安全。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

翻译|前端开发人员的10个安全提示

Web安全是前端开发人员经常忽略的主题。当我们评估网站的质量时，我们通常会查看性能，SEO友好性和可访问性等指标，而网站抵御恶意攻击的能力却常常被忽略。

07

第三方Javascript开发系列之投放代码

本文先从第三方Javascript脚本的重要组成部分“投放代码”讲起。先从一个最例子看起：Google Analytics（以下简称GA），是Google提供的用于网站监测等一系列功能的服务。网站开发者将GA提供的投放代码放到自己网站上需要监测的页面（一般是全站添加）。

02

用好 DIV 和 API，在前端系统中轻松嵌入数据分析模块

在数字化转型潮流席卷各大行业的今天，越来越多的企业开始重视 BI（商业智能）技术的部署和应用，期望从不断增长的数据资源中获得更多业务价值，从而提升利润、控制风险、降低成本。BI 能整合、组织和分析数据，将数据转化为有价值的信息，为企业管理和决策提供支持，成为企业迎接变革和商业创新的决胜因素。

03

加载第三方JS的各种姿势

如果你的网站上面有很多第三方JS代码，那么“下载速度的不可控”很有可能导致你的网站会被拖慢。因为JS在执行的时候会影响到页面的DOM和样式等情况。浏览器在解析渲染HTML的时候，如果解析到需要下载文件的script标签，那么会停止解析接下来的HTML，然后下载外链JS文件并执行。等JS执行完毕之后才会继续解析剩下的HTML。这就是所谓的『HTML解析被阻止』。浏览器解析渲染页面的抽象流程图如下：

01

Cookie 的访问方式可能要有大变化了！

在最近发布的 Chrome 113、114 两个版本中，有两个关于 Cookie 的变化：

02

web之攻与受（CSRF篇）

如图用户通过源站点页面可以正常访问源站点服务器接口，但是也有可能被钓鱼进入伪站点来访问源服务器，如果伪站点通过第三方或用户信息拼接等方式获取到了用户的信息（如cookie），直接访问源站点的服务器接口进行关键性操作（例如支付扣款或返回用户隐私信息等操作），此时如果源站点服务器未做校验防护，伪站点的请求操作就可以被成功执行。另一种情况则可能是盗刷源站点的登录等接口来暴力破解用户密码的情况，如果源站点不添加防护措施，用户信息就极可能被盗取。

01

安全架构中的前端安全防护

近年来，随着互联网、物联网、移动通信、5g通信等技术的发展，人类的生活和工作越来越离不开软件和互联网。人类文明发展到一定程度，必须遵守法律和社会规范，网络环境也一样。

00

端侧安全的主流解决方案是什么？

我国网络技术水平的提升，带动着WEB前端业务量的显著增长，人们对于网络服务的需求也日益复杂，与此同时，越来越多的黑客出现，其攻击水平也有了明显提升，WEB前端也成为了众多黑客进行网络攻击的主要目标。

00

【前端编程】加载第三方JS的各种姿势

从网站开发者的角度来看，第三方JS相比第一方JS有如下几个不同之处：下载速度不可控 JS地址域名与网站域名不同文件内容不可控不一定有强缓存（Cache-Control/Expires）如果你的网站上面有很多第三方JS代码，那么“下载速度的不可控”很有可能导致你的网站会被拖慢。因为JS在执行的时候会影响到页面的DOM和样式等情况。浏览器在解析渲染HTML的时候，如果解析到需要下载文件的script标签，那么会停止解析接下来的HTML，然后下载外链JS文件并执行。等JS执行完毕之后才会继续解析剩下

09

一种将前端恶意代码关在“笼子”里的技术方案

安全，特别是软件代码安全，近年来被业内人士频繁提出，可见其受重视程度。而这些，起源与全球化的开源大生产。

广告等第三方应用嵌入到web页面方案之使用iframe嵌入

有些项目中可能会遇到这样的需求, 需要在一个项目中嵌入其他的项目的页面或者功能.并且需要这两个页面之间能够进行交互. 本文主要介绍如何实现这种第三方应用的嵌入, 主要有以下几个方向: 1.iframe

07

Vue添加第三方页面

首先在Vue项目的public目录中新建static文件夹，在其中存放第三方页面。

01

通用性业务逻辑组合拳劫持你的权限

可能很多朋友点击来看见标题就觉得，这家伙在吹牛逼了我倒要看看这货能怎么吹,CSRF之登陆我的账号能有啥玩意危害？

03

广告等第三方应用嵌入到web页面方案之使用js片段

在自己的项目中嵌入过广告的朋友们可能都用过百度联盟, 只需要嵌入如下一段js代码片段, 就可以在自己的项目中嵌入广告, 来获得收益. <script type=“text javascript”>

个人博客主题模板中怎么插入第三方视频链接

本站开发的博客已经陆续的添加了独立的视频接口，可以单独为博客设置合适的视频，但是总有一些网友不知道怎么添加视频，所以今天把教程记录下，主题模板均支持第三方视频链接和mp4本地链接形式，基本上来说覆盖了主流格式，简单来说只要第三方支持嵌入式（iframe）代码就可以视频在文章中添加视频，如果不支持那么没办法只能上传到本地或者CDN空间，然后获取链接添加在文章视频接口，最终的效果如图：

02

个人博客主题模板中怎么插入第三方视频链接

本站开发的博客已经陆续的添加了独立的视频接口，可以单独为博客设置合适的视频，但是总有一些网友不知道怎么添加视频，所以今天把教程记录下，主题模板均支持第三方视频链接和mp4本地链接形式，基本上来说覆盖了主流格式，简单来说只要第三方支持嵌入式（iframe）代码就可以视频在文章中添加视频，如果不支持那么没办法只能上传到本地或者CDN空间，然后获取链接添加在文章视频接口，最终的效果如图：

02

开发团队如何选型支付网关

支付是电子商务的最后一英里，只有顺利完成了支付，才能产生真正的业务价值。那么，对于商家来说，需要以最低的成本和最快的速度为用户提供最安全的支付功能。

02

大型 web 应用公共组件架构思考

https://mp.weixin.qq.com/s/gVUJRF_nLHOT_iXDXQ8F-w

02

iframe、SameSite与CEF

本人使用CEF（或是Chrome）来加载开发的前端页面，其中使用iframe嵌入了第三方页面，在第三方页面中需要发送cookie到后端，然而加载会报错，第三方页面后端无法接受到Cookie。

03

阶段七：浏览器安全

32 ｜同源策略：为什么XMLHttpRequest不能跨域请求资源–Web页面安全浏览器安全分为三大块：Web页面安全、浏览器网络安全、浏览器系统安全。同源策略页面中最基础、最核心的安全策略：同源策略(same-origin policy) 如果两个URL协议相同、域名相同、端口相同，就称为这两个URL同源同源策略就是说：相同源之间可以操作DOM、读取互相之间的Cookie、indexDB、locationStorage等页面数据以及网络层面共享。也就解释了为什么同源策略限制了X

03

准备好迎接三方 Cookie 的终结

在这个章节我们将关注 Web 上的隐私沙箱并分享如何为三方 Cookies 的终结做好准备。 Privacy Sandbox 是一组提案，可以帮助我们解决用户身份追踪的问题，Chrome 也将在不久的未来停止支持第三方 Cookies。我们可以在 privacysandbox.com/timeline 查看最新信息（我们可以在时间性中看到，在明年的第三季度，三方 Cookie 将被禁用）。

03

https中引入http资源资源所导致的问题

直接复制原有代码, 写成两套代码,一套为https使用,一套为http使用,http和https各自指向各自服务

08

关于前端安全的 13 个提示

Photo by Philipp Katzenberger on Unsplash

01

谁能帮我们顺利过渡到没有三方 Cookie 的未来？

大家好，我是 ConardLi，今天我们继续来聊 Cookie 。还是三方 Cookie 的问题，我们先回顾一下：

02

开放与集成：酷家乐云设计工具插件系统的秘密

在酷家乐云设计工具推出插件化二开系统之前，基于 HTTP 的 OpenAPI 已经运作多年，很多客户使用 OpenAPI 把我们的 SaaS 服务和自己的信息系统集成到了一起。这部分客户因此可以将自己的业务流程运行得更加简单和高效。这也是 OpenAPI 的特点，擅长在不同系统间做数据上的对接和系统的集成。而在另一方面，越来越多的需求指向了一个方向：客户希望在酷家乐中扩展功能。这让我们开始考虑为酷家乐提供一个插件系统，允许第三方开发者开发在酷家乐内运行的功能。我们在 2021 年启动了这个项目，并将这套插件系统取了个对外的名称，叫做酷家乐工具小程序。

03

Chrome 61 Beta版已支持JavaScript模块，Web支付API，Web Share API和WebUSB

Chrome 61 Beta版：JavaScript模块，桌面支付请求API，Web Share API，以及WebUSB 除非另有说明，否则下述更改适用于Android，Chrome OS，Linux，Mac和Windows的Chrome Beta最新版本。 JavaScript模块模块允许开发人员声明脚本的依赖关系，并且在第三方构建工具中模块已经很受欢迎，它们主要用模块来按需打包脚本。在本次发布的版本中通过<script type=module>元素添加了对JavaScript 模块的原生支持。原生

06

8大前端安全问题（上） | 洞见

当我们说“前端安全问题”的时候，我们在说什么 “安全”是个很大的话题，各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话，那么所有发生在后端服务器、应用、服务当中的安全问

05

如何安全的运行第三方 JavaScript 代码

最近，我们团队完成了 Figma 插件 API 的开发工作，这样第三方开发人员就可以直接在基于浏览器的设计工具中运行代码。这为第三方开发人员带来便利的同时，也给我们带来许多严峻挑战，比如，如何确保插件中运行的代码不会带来安全问题？

03

技术雷达的安全实践｜洞见

安全事故 2014年乌云网发布了某旅行网站（以下简称X网站）的安全支付漏洞，X网站因长时间打开支付服务调试接口，导致用户信用卡信息面临泄露风险；在针对其进行进一步的扫描后，乌云发现X网站的分站源代码可

08

8大前端安全问题（下）| 洞见

在《8大前端安全问题（上）》这篇文章里我们谈到了什么是前端安全问题，并且介绍了其中的4大典型安全问题，本篇文章将介绍剩下的4大前端安全问题，它们分别是：防火防盗防猪队友：不安全的第三方依赖包用了HTTPS也可能掉坑里本地存储数据泄露缺乏静态资源完整性校验 ---- 防火防盗防猪队友：不安全的第三方依赖包现如今进行应用开发，就好比站在巨人的肩膀上写代码。据统计，一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等，而应用自身的代码其实只占了20%左右。无论是后端服务器应用还是前端应用开发

08

容易被忽略的CSS安全性 [每日前端夜话(0x0B)]

前一段时间，有很多关于用CSS构建的“键盘记录器”的讨论（源代码见：https://github.com/maxchehab/CSS-Keylogging）。

03

Web安全之CSRF实例解析

跨站请求伪造（Cross Site Request Forgery），是指黑客诱导用户打开黑客的网站，在黑客的网站中，利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户的登陆状态，并通过第三方的站点来做一个坏事。

02

跨站请求伪造—CSRF

CSRF，是跨站请求伪造（Cross Site Request Forgery）的缩写，是一种劫持受信任用户向服务器发送非预期请求的攻击方式。

02

基于OIDC实现单点登录SSO、第三方登录[通俗易懂]

认证（Authentication）认证是指应用软件（身份信息使用方）通过采用某种方法来确认当前请求的用户是谁。基于密码的认证过程可以细分为三步：（1）认证服务器（身份信息提供方）从客户端获取用户账密。（2）认证服务器将拿到的账密与数据库中保存的账密进行比较，确认正确后，生成用户身份信息。（3）使用方从提供方处获取用户身份信息。

04

【Web技术】582- 聊聊 Cookie “火热”的 SameSite 属性

2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie，在灰度期间，就导致了阿里系的很多应用都产生了问题，为此还专门成立了小组，推动各 BU 进行改造，目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知，也着实加深了一把大家对于 Cookie 的理解，所以很可能就此出个面试题，而即便不是面试题，当问到 HTTP 相关内容的时候，不妨也扯到这件事情来，一能表明你对前端时事的跟进，二还能借此引申到前端安全方面的内容，为你的面试加分。

02

Chrome 92 破坏性功能，我这弹窗有何用？

近期，Chrome 92 进行了发布，我们来看看 Chrome 92 中提及的一个影响比较大的破坏性改动。

03

Cookie 的 SameSite 属性

Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击和用户追踪。

02

2020前端性能优化清单（四）

研究哪些 JavaScript 引擎在你的用户群中占主导地位，然后探索对其进行优化的方法。例如，当针对 Blink 浏览器、Node.js 运行时和 Electron 中使用的 V8 进行优化时，请使用脚本流[2]来处理整体脚本。

02

如何使用 JavaScript 检测用户是否启用三方 Cookie ？

今天继续来聊 Cookie ，Chrome 已经在 1.4 号开启了三方 Cookie 的 1% 禁用灰度：

01

打破 iframe 安全限制的 3 种方案

关注「前端向后」微信公众号，你将收获一系列「用心原创」的高质量技术文章，主题包括但不限于前端、Node.js以及服务端技术

06

软件测试面试题分享-No.5

会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。cookie通过在客户端记录信息确定用户身份，session通过在服务器端记录信息确定用户身份

04

微软推出IE10第二个平台预览版

据国外媒体报道，微软继4月在MIX11会议上发表IE10首个平台预览版（Platform Preview 1，PP1）后，本周推出IE10的第二个平台预览版（ PP2）。IE10将会伴随着明年出炉的Windows 8的问世，采用多种新的HTML5标准，强化HTML5的效能，同时也针对网络应用程序新增各种安全功能。

01

Figma: 如何在 Web 上构建一个插件系统

原文：https://www.figma.com/blog/how-we-built-the-figma-plugin-system/

03

JavaScript中的沙箱机制探秘[二]:iFrame沙箱实现方案详解

在上一篇文中，我们接触了JavaScript中的sandbox的概念，并且就现阶段的一些实现思路做了总结，包括YUI的闭包、iframe的sandbox以及Nodejs的VM和child_process模块，在文中我们也知道了各自实现的局限性。而对于前端来说，让前端的第三方js代码能够从本质上产生隔离，并且让后端参与部分安全管控是最理想的状态。在这些方案中，在引擎层面制造隔离的iframe方案显然是最简单可行的。

01

一文搞懂Electron的四种视图容器和它们之间的IPC通信机制

Electron作为一种基于JS语言搭建的桌面框架，其基础视图容器是包含了Chromium内核的窗口，称为BrowserWindow。对于更复杂的项目，如果需要在窗口内部嵌入第三方业务的页面，则有BrowserView、webView Tag和Iframe三种方案可供选择。

07

说说JS中的沙箱

沙箱，即sandbox，顾名思义，就是让你的程序跑在一个隔离的环境下，不对外界的其他程序造成影响，通过创建类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。举个简单的栗子，其实我们的浏览器，Chrome 中的每一个标签页都是一个沙箱（sandbox）。渲染进程被沙箱（Sandbox）隔离，网页 web 代码内容必须通过 IPC 通道才能与浏览器内核进程通信，通信过程会进行安全的检查。沙箱设计的目的是为了让不可信的代码运行在一定的环境中，从而限制这些代码访问隔离区之外的资源。

03

手机端H5组件化4种解决方案

本文研究如何基于H5开发，在不需要厂家源码的前提之下，集成每个厂家开发的页面至我们开发的容器（主页面）中，同时保证容器能够与厂家页面安全通信，并且提出一套约束厂家UI样式的方案。核心问题是如何在移动端实现多方协作开发，以模块化/组件化的设计模式进行分工、整合。

02

匿名 iframe：COEP 的福音！

在之前的文章中我经常提到一个臭名昭著的漏洞：Spectre 漏洞，详细可以了解下面这篇文章：

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭