使用 Office.js 防止点击劫持
Prevent clickjacking using Office.js
文档位于 https://github.com/OfficeDev/office-js-docs/blob/master/docs/develop/privacy-and-security.md#tips-to-prevent-clickjacking
列出了一系列帮助防止点击劫持的方法,方法是让用户在执行潜在危险操作之前进行确认。
我想知道在调用 Office.initialize 之前根本不在页面上呈现任何 UI 是否同样安全?或者有没有办法让攻击者在他们的页面上使用 iframe 我的加载项并以某种方式用恶意版本替换 Office SDK?
是的,恶意攻击者可能会尝试模拟 add-in 运行时。最好确保用户按照最佳实践中的描述确认敏感操作。如果您的 add-in 要求用户登录,这是获取用户输入的一种方式,有助于缓解这种情况。
文档位于 https://github.com/OfficeDev/office-js-docs/blob/master/docs/develop/privacy-and-security.md#tips-to-prevent-clickjacking 列出了一系列帮助防止点击劫持的方法,方法是让用户在执行潜在危险操作之前进行确认。
我想知道在调用 Office.initialize 之前根本不在页面上呈现任何 UI 是否同样安全?或者有没有办法让攻击者在他们的页面上使用 iframe 我的加载项并以某种方式用恶意版本替换 Office SDK?
是的,恶意攻击者可能会尝试模拟 add-in 运行时。最好确保用户按照最佳实践中的描述确认敏感操作。如果您的 add-in 要求用户登录,这是获取用户输入的一种方式,有助于缓解这种情况。