我有一个一般性的问题,我试图获得一些信息。
我有一台服务器,在这台服务器上,我有一个提交给API的网络表单。
第三方公司有一个服务器,他们需要托管我的表格。这样,他们将我的表单IFrame放入其页面。
第三方公司是否可以通过任何方式获取iframe中包含的表格中输入的数据?他们的Apache日志会记录数据吗?他们可以在服务器上做一些可以帮助他们获取数据的事情吗?
我的服务器是安全的,它不允许CORS或任何此类的东西。问题是,他们是否可以做任何事情来获取输入的数据?
请您参考如下方法:
没有,因此无法访问iframe的内容,因为它不在其域中。
是,他们可以诱骗用户窃取输入:显示类似于iframe的但由他们控制的内容,或使用Clickjacking。
并且,如果如果他们使用的是http ,即使您的iframe使用https,则攻击者也可以这样做并窃取他们的数据。