Cross-Frame Scripting (XFS) es un ataque que combina la utilización maliciosa de JavaScript con un iframe que carga una página legítima. Se utiliza para robar datos de usuarios.
Este ataque generalmente solo tiene éxito cuando se combina con ingeniería social. Un ejemplo consistiría en que un atacante convenza al usuario para navegar a una página web controlada por el atacante. La página del atacante carga un JavaScript malicioso y un iframe HTML que apunta a un sitio legítimo. Una vez que el usuario ingresa las credenciales en el sitio legítimo dentro del iframe, el JavaScript malicioso captura las pulsaciones de las teclas.
Este ataque explota el modelo estándar de seguridad de los navegadores, que permiten que elementos JavaScript de una página web accedan al contenido de otras páginas que se han cargado en diferentes ventanas o marcos del navegador. Para conseguir ese acceso, las páginas deben haberse cargado desde el mismo servidor o dominio de origen, ya que no se permite el acceso a páginas que se hayan cargado desde diferentes servidores o dominios. Sin embargo, existen errores específicos en el modelo de seguridad de algunas versiones de navegadores específicos, lo que permite que un atacante acceda a algunos datos en páginas cargadas desde diferentes servidores o dominios. El error de este tipo más conocido afecta a Internet Explorer, que filtra eventos de teclado en conjuntos de marcos HTML. Este error podría permitir, por ejemplo, que un atacante robe las credenciales de inicio de sesión de un usuario del navegador mientras intenta escribirlas en el formulario de inicio de sesión de una página web de un tercero.
Este tipo de ataques pueden utilizarse de forma intermedia para realizar otros. Por ejemplo, un atacante podría utilizar un frame oculto para realizar ataques de Cross-Site Scripting (XSS) o de Cross-Site Request Forgery. También se podría utilizar un frame visible para realizar ataques de criptojacking.
