フレームの脅威というものをいまいち把握していなかったのですが、
クリックジャッキングというものがあるのですね。
こちらで詳細を把握させていただきました。
https://blog.tokumaru.org/2013/03/clickjacking-report-by-IPA.html
⇒機能を勝手に実行されるという面で考えると、CSRFと酷似
具体例をだすとこんな感じでしょうか。
①攻撃者が今話題のニュース記事を投稿
⇒iframeで某通販サイトのページのhtmlを透過で表示し、見た目を変えて画面を表示
②ユーザーが"①"のサイトの次へボタンをクリック(某通販サイトと思わずに)
③結果、某通販サイトを退会させられた
対策
httpヘッダにX-FRAME-OPTIONSを付与する。
ブラウザが値を検知し、iframeの出力を制限してくれる。
とはいえ、すべてのブラウザがこのhttpヘッダに対応しているかは?なので、
シンプルにCSRFと同じく登録更新系ではトークンを使用するようにしておけば、
安心ではないでしょうか。
退会するには、前画面のトークンが必須など。
んー、iframe詳しくないですが、その前画面すら偽サイトで表示してしまったら、
トークン必須チェックもすり抜けてしまう?
どうなんでしょう?とりあえず、httpヘッダにX-FRAME-OPTIONSを付与すれば、
主要ブラウザを使用しているユーザを救うことができる。
気が向いたときに試してみます!