之前知道iframe页面嵌入有安全限制,以为只是被嵌入方做限制,防止自己被其他网站使用。
今天爆出来才发现嵌入方也需做限制,防止嵌入其他站点的iframe。
问ai的:为什么需要 “双向限制”?
只限制 A 的frame-src:A 能确保自己不嵌恶意页面,但 B 仍可能被其他陌生站点嵌入(B 的安全无法保障);
只限制 B 的frame-ancestors:B 能防止被陌生站点嵌入,但 A 可能因漏洞被注入恶意 iframe(A 的用户体验受影响);
双向限制:A 主动控制嵌入范围,B 被动拒绝非法来源,形成安全闭环,同时保护双方的安全和利益。
今天爆出来才发现嵌入方也需做限制,防止嵌入其他站点的iframe。
问ai的:为什么需要 “双向限制”?
只限制 A 的frame-src:A 能确保自己不嵌恶意页面,但 B 仍可能被其他陌生站点嵌入(B 的安全无法保障);
只限制 B 的frame-ancestors:B 能防止被陌生站点嵌入,但 A 可能因漏洞被注入恶意 iframe(A 的用户体验受影响);
双向限制:A 主动控制嵌入范围,B 被动拒绝非法来源,形成安全闭环,同时保护双方的安全和利益。
展开
评论
1
- 接杉磊倔友的沸点,说一下我结婚的事情,结婚不是算计不是计较不是攀比,而是2个人共同努力的成果:
我结婚彩礼49万,真是付了49个,因为48.8w不太好听,我是东拼西凑结的婚,家里有3辆车,CRV、轩逸、小鹏,CRV和小鹏是结婚买的的,全部都是我贷款,一个我的名字,一个我老婆名字,房子买的海边的,80多平,300多万,一个月房贷是4000左右,CRV是2600多,小鹏是1800多,家里有个农村房,装修贷款了20个,无息的,月供5500多,婚礼花了30多个,不到40个,我家村里一场,她家酒店一场,两场婚礼,金子买了100克的,当时金价是1200多(带手工费),我媳妇家庭特殊,所以没有出任何费用,全程都是我付钱,贷款目前也是我和我父母还,我媳妇目前没有工作,我说这个没有任何意思,只是想告诉各位,结婚是2个人共同奔赴,不是算计,结婚是2个家庭的事情,如果我算计我媳妇,现在估计已经分手了,2026年5月份外债+负债还款1w7多元(现在基本上钱一到账立马被划走了,因为我被起诉了![[呲牙]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_2.cd1e2bd.png)
,大集团啥的走起诉流程就是快)8 赞 · 142 评论 - 昨天我媳妇说拿10W给她弟提前还下房贷,我没反驳,直接答应了。
回想我毕业这几年,19年开始工作,父母赞助了40W,20年高位站岗贷款买房,23年结婚,24年还清了房贷,25年有了娃,一直抠抠搜搜,省吃俭用,现在刚刚有点积蓄。
时也命也 除了父母又有谁曾助我一把19 赞 · 137 评论 - 大家租房都多少钱一个月2 赞 · 143 评论
![[呲牙]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_2.cd1e2bd.png)
,大集团啥的走起诉流程就是快)