在iframe中隐藏/伪造src，这在DOM/检查的元素中找不到

在iframe中隐藏/伪造src是一种常见的安全漏洞攻击方式，被称为iframe注入攻击。通过修改iframe的src属性，攻击者可以加载恶意网页或者伪造合法网页，从而进行钓鱼、恶意代码注入等攻击行为。

为了防止iframe注入攻击，可以采取以下措施：

1. 输入验证和过滤：对于用户输入的内容，进行严格的验证和过滤，确保只允许合法的URL作为iframe的src属性值。
2. 使用X-Frame-Options头部：通过设置X-Frame-Options头部，可以控制网页是否允许被嵌入到iframe中。可以设置为"deny"，表示不允许被嵌入到任何iframe中；或者设置为"sameorigin"，表示只允许被同源域名的页面嵌入。
3. Content Security Policy（CSP）：通过设置CSP，可以限制页面中可以加载的资源来源，包括iframe的src属性。可以设置只允许加载来自特定域名的资源，从而防止恶意注入。
4. 使用安全的框架和库：使用经过安全审计和广泛使用的框架和库，可以减少安全漏洞的风险。例如，使用React、Angular等前端框架，使用Spring、Express等后端框架。
5. 定期更新和修复漏洞：及时关注并安装厂商发布的安全补丁，修复已知的漏洞。

对于开发者来说，了解和掌握安全开发的最佳实践是非常重要的。在开发过程中，要注意对用户输入进行合法性验证和过滤，避免直接将用户输入作为src属性值。同时，要定期进行安全审计和漏洞扫描，及时修复发现的安全问题。

腾讯云提供了一系列的云安全产品和服务，可以帮助用户保护应用程序和数据的安全。例如，腾讯云Web应用防火墙（WAF）可以检测和阻止常见的Web攻击，包括iframe注入攻击。详情请参考腾讯云Web应用防火墙产品介绍：https://cloud.tencent.com/product/waf