IFrame安全和CORS

Question

我有一個通用的問題，我試圖獲取一些信息。

我有一個服務器，並在這臺服務器上我有一個提交給API的webform。

第三方公司有一臺服務器，他們需要託管我的表單。就這樣，他們將我的表單嵌入到他們的頁面中。

是否有任何可能的方式讓第三方公司獲得輸入到iframe中包含的表格中的數據？他們的Apache日誌會記錄數據嗎？他們可以在他們的服務器上做些什麼來幫助他們獲得數據嗎？

我的服務器是安全的，它不會允許CORS或此類的任何東西。問題是他們是否可以做任何事情來獲取輸入的數據？

Answer 1

否然後無法訪問iframe的內容，因爲它不在他們的域中。

是他們可以誘騙用戶竊取輸入：顯示的東西，看起來像你的iframe，而是由他們控制，或使用Clickjacking。

而且，如果他們使用HTTP，即使你的iframe中使用HTTPS，攻擊者就可以做到這一點並竊取他們的數據。