【发布时间】:2012-01-11 14:48:59
【问题描述】:
我们的应用程序中有一个功能允许用户选择一组资产(图像、视频等)并为这些资产生成一个嵌入代码,这些代码可以嵌入到另一个网页中。到目前为止,我们使用 iframe 在嵌入代码中实现 iframe 的 src 属性指向的页面吐出 HTML 进行嵌入。
出于某些安全原因,我们希望摆脱 iframe 并将其替换为对象标记、脚本标记等其他内容。
我的问题是关于对象标签的。 object 标签的主要用途似乎是嵌入视频、pdf 等。我知道它可以用来嵌入整个网页,就像我们想要的那样。但我的问题是 - 这是推荐的吗?我们要嵌入的网页将包含一组资产,其中包含对这些资产进行排序、下载、共享和预览的选项。
那么使用对象标签嵌入如此复杂的网页会是一个好习惯吗?或者它是为了最小的使用,比如嵌入视频剪辑、幻灯片等?
【问题讨论】:
-
您对 iframe 有哪些安全问题?是什么让您认为该对象不会有同样的问题?
-
@AllisonC - 该页面几乎回答了我的问题。
-
@Quentin - 我提到的安全问题与本页提到的类似 - thespanner.co.uk/2007/10/24/iframes-security-summary - 你认为对象会有同样的问题吗?此外,似乎 iframe 无法在移动浏览器上正确显示。
-
@Mandar — 每一个都描述了如果攻击者让受害者访问他们创建的使用 iframe 的页面时可以进行的攻击。它们都不是与在您自己的页面中使用 iframe 相关的问题。它们中的大多数还依赖于(现已修复)浏览器中的安全漏洞。