タイトルにあるように、iframeを使用してサーバー自体のすべてのWebセッションをロックするWebアプリを作成するつもりです。したがって、クライアントからアクセスする場合でも、メインのブラウザページにいる間は、他のサイトにアクセスできます。
ウェブサイト自体がページを介して接続しているので、セキュリティの観点から、接続は次のようになるため、技術的にはVPNを経由していますか?
クライアント->メインWebページをホストしているサーバー-> facebook.com
facebook.comへの接続はクライアントまたはサーバーから行われますか?そして、このタイプのソリューションは実現可能ですか?
facebook.comへの接続はクライアントまたはサーバーから行われますか?そして、このタイプのソリューションは実現可能ですか?
IFrameを使用しているだけの場合、リクエストはブラウザから送信されます。
バックエンドHTTPリクエストを行うプロキシハンドラーをサイトで作成した場合、それはサーバーから送信されます。たとえば、ハンドラーはurl
-のようなクエリ文字列パラメーターを受け取ることができますhttp://example.com?url=https://facebook.com
。
このアプローチでは、3つの関連するセキュリティ問題が思い浮かびます。
http://127.0.0.1
またはなどを参照できないようにしますhttp://192.168.2.4
。X-Frame-Options
-多くのサイトがこのヘッダーまたは新しいCSP2frame-ancestors
ヘッダーを使用して、フレーム化されないようにしています。ただし、プロキシコードでそのようなヘッダーを取り除くことはできます。http://example.com
(またはhttps://example.com
)にいる場合、Facebookにログインしていることをどうやって知ることができますか。IFramedページがFacebookのように見えるという事実以外に保証はありません。いずれにせよ、Facebookにリクエストをプロキシしている場合、自分の資格情報を取得していないことをどうやって知ることができますか?これがあなた自身のためだけの場合は、ポイント1と3をいくらか無視できますが、ブラウザを使用してセキュリティを自分で確認する方法はなく、サーバー側のコードを信頼する必要があります。 MITMは、接続をHTTPSからプレーンHTTP(sslstrip)にダウングレードします。
残りの部分は、セキュリティの問題を無視して実行可能です。セッションCookieなどを処理すると、複雑なコードが発生します(特に、JavaScriptで設定されている特定のCookieを処理する場合は、すべてメインサイトのドメインとOriginを共有するため)。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加