两处网址含有xss漏洞,整个框架含有CORS(跨源资源共享)源验证失败漏洞,以上漏洞均可盗取cookie;
点击劫持发现:缺少X-Frame-Options标头,防御手段如下:
X-Frame-Options
部分浏览器支持
DENY:禁止iframe,浏览器拒绝当前页面加载任何iframe页面。
SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护。
ALLOW-FROM: 白名单限制。
Content Security Policy"网页安全政策"(Content Security Policy,缩写 CSP),一种白名单制度。
(建议官方人员学习一下以上漏洞的详细情况,在改进一下系统源代码