Главная / Технический аудит / Страницы c frame/iframe

Страницы c frame/iframe

Элемент <iframe> (от англ. inline frame — встроенный фрейм) позволяет вставлять в HTML-код ваших страниц контент с других сайтов - например, документы pdf, видео, интерактивные медиа-файлы. Они будут отображаться в заданном пространстве и существовать независимо от остальной страницы.

Вставляется элемент с помощью тега <iframe>:

<iframe src = "URL"> </iframe>

Атрибут src определяет источник встроенного документа.

Почему важно знать о наличии встроенных фреймов на вашем сайте?

Обычно iframe применяется для добавления визуально привлекательного дополнительного материала или рекламы из внешних источников. Однако использование встроенных фреймов может замедлять работу страницы и создавать угрозу безопасности сайта и его пользователей, поскольку хакеры часто применяют такие элементы для встраивания своего враждебного сайта.

Вредоносный ресурс может использовать iframe для эксплуатации уязвимого сайта посредством CSRF (Сross Site Request Forgery - подделки межсайтовых запросов). Также iframe применяется злоумышленниками в «атаке UI Redress» (user interface redress attack).

Поэтому необходимо соблюдать осторожность при добавлении в iframe содержимого неизвестного сайта.

Содержание отчета

В отчете Labrika «Страницы c frame/iframe» будет показан список используемых фреймов, чтобы вы могли увидеть, получены ли они из ненадежных источников.

  1. Проставив галочку около нужного пункта, можно отфильтровать содержимое отчета так, чтобы отображались данные только по тем iframe, которые включают/не включают видео с YouTube.
  2. URL-адрес страницы с iframe.
  3. Мета-заголовок (title) данной страницы.
  4. Указано, содержит ли фрейм видео с YouTube.
  5. При клике по кнопке «Показать» будет показано содержимое элемента iframe в HTML-коде.

Использование отчета

Проверьте содержимое указанных в отчете фреймов. В случаях, когда вам необходимо их использовать, убедитесь, что встроенный контент взят только из надёжных источников. Если вы считаете, что веб-сайт небезопасен, не помещайте его содержимое в элемент iframe.