使用iframe防止恶意文件安全吗

Is it safe to use iframe to prevent malicious files

我正在制作一个基于网络的聊天平台,人们可以在这里聊天,也可以共享文件。如果任何黑客注入恶意文件,那么我的网站就有被黑的风险。我只是在考虑将来自不同域名的用户共享的文件嵌入到不同的主机中,这样脚本看起来像 -

<iframe src="server-url.com?file=filename.ext" ></iframe >

而 iframe src URL 将响应

<html>
<head></head>
<body>
<img src="filename.ext" >
</body>
</html>

这种技术可以防止我的网站被黑客入侵吗?如果不是,保护我的网站免受恶意文件侵害的最佳方法是什么?

现在这完全取决于您使用 iframe 属性的网站。如果该站点是安全的并且具有 SSL(指的是您正在使用 iframing 的第 3 方站点),那么您应该没问题。

现在,如果您确实想让它安全,您可以使用“沙盒”属性。我在下面有一个来自 W3 学校的 link,它解释了更多相关信息。沙盒通常会屏蔽大部分内容,但也有一些属性值允许您进行例外处理

例如,假设您的 iframe 聊天使用脚本来运行,您可以这样做

<iframe src="server-url.com?file=filename.ext sandbox="allow-scripts"></iframe >

Information about iframe sandbox from W3 schools