您主要关心的是恶意 javascript、actionscript (flash)、Adobe Acrobat 和 Java Runtime 代码。这些都是可以被利用通过（过时的）浏览器插件感染某人的网络攻击面。

您所描述的问题正是流行网站意外分发恶意广告时发生的情况

默认情况下，iframe 和包含它们的网页是完全独立且独立的。如果父文档和 iframe 不在同一个域中，则它们都无法访问彼此的 DOM、CSS 样式或 JavaScript 函数。

请记住，尽管跨域 iframe 仍然能够触发警报、运行（恶意？）插件、自动播放视频和呈现可提交的表单以尝试对用户的信息进行网络钓鱼。

值得庆幸的是，IE (v10+)、Firefox、Chrome 和 Safari 支持限制 iframe 的功能。它被称为沙盒属性。设置此属性后，iframe 内的文档即使来自同一来源，也无法执行以下任何操作：

• 运行任何 JavaScript
• 更改父母的 URL
• 打开弹出窗口、新窗口或新标签
• 提交表格
• 运行插件
• 使用指针锁
• 从父级读取 cookie 或本地存储

有关示例和更多信息，请参见此处：https ://steemit.com/security/@gaottantacinque/steemit-security-check-iframe-tricks