Fare med iFrame

kongen

kongemedlem
Hvilke farer er det ved å ha en php side i en iFrame på en php side. Php filen som er i iFramen skal sende data frem og tilbake til en database.
 

Pong

Jeg selger sʇɥƃıluʍop :)
Vel, egentlig finnes det ikke noe som heter en php side inn i en iframe på en php side.
Alt dette er jo html-filer, som er php-filer som er kjørt gjennom php intepreter.
Ser ikke noe problem her, utenom det vanlige man skal passe på.
 

xdex

Medlem
Jeg tillater aldri iframes, men det er på grunn av iframe hijacking etc, finnes mange fancy ord. Dessuten, ser jeg ikke helt vitsen i å tulle med iframes på denne måten? Hvorfor ikke bruke javascript/json eller lignende til å hente informasjon? Det vil gi deg mye mer kontroll.

Du kan jo også snu spørsmålet ditt, for å besvare deg selv. "Hvis alle inkluderte min iframe, ville det da skjedd noen skade?" Alt er jo relativt, i forhold til hva denne eksterne siden gjør. Dersom den endrer noe, hver gang den lastes, så JA, da er det jo store problemer ute og går. Vi får jo ikke vite hva som skal skje, og når det skal skje.

Men, jeg regner jo med du tenker på alt dette med requests etc.
 

kongen

kongemedlem
Hvordan kan man forhindre iframe hijacking? Vil ikke bruke javascript da dette kan slås av i browser.
 

xdex

Medlem
Er bare å hindre embed av iframe, dersom du gjør det, vil du ikke kunne laste ned noe fra den siden med iframe. Ergo, da vil ikke dette eksperimentet ditt fungere. Grunnen til at folk ofte blokkerer iframes, er jo f.eks. facebook. Tenk deg å legge inn en iframe fra facebook, og gjøre den usynlig. Over legge du en knapp som heter "gå videre", hver gang noen da hadde trykket på "gå videre" ville dem automatisk likt siden din. Dette er jo bare ett helt "ufarlig" eksempel, men om dette hadde gått ann i nettbanker osv.. ja da sier det seg selv at vi hadde fått problemer.

For å hindre iframes kan du f.eks bruke,

Kode:
<meta http-equiv="X-Frame-Options" content="deny">

Når det er sagt, finnes det nok løsning som f.eks. bare tillater iframe fra en spesifikt side, da må man evt. gjøre dette i htaccess regner jeg med, da javascript er utelukket for deg.
 

kongen

kongemedlem
Jeg må ha en iframe, det er et skjema i denne iframen hvor feltene skal sendes med array til et annet domene, og det nye domenet skal lagre ting i database.
 
Topp