我想使用 eWay ( http://eway.com.au ) 作为支付网关,但问题是它不允许在他们的托管页面上进行太多自定义。我想展示客户会支付的产品,但这是不可能的,所以我想可能只是将托管页面打入 iframe。但是话又说回来,我期待它会出现安全问题,尽管无法准确指出究竟是什么问题。如果有人能给我一个更好的主意,如果它会导致任何安全漏洞,我将不胜感激。
问问题
2697 次
1 回答
6
从另一个安全的网站嵌入 iframe 的问题在于,用户没有简单的方法来检查该网站是否是他们真正想要与之交谈的网站(您的网站很容易伪造该 iframe 在一个在他们没有注意到的情况下访问您的网站:如果您没有在您的网站上使用 HTTPS,您可能是中间人,或者您和他们之间的某个人)。
如果 iframe 指向 HTTPS 站点(很可能是付款的情况),用户将无法检查锁定或蓝/绿条。可以查看页面的来源来检查 URI,但很少有用户知道如何做到这一点,甚至更少的人会走得那么远。
(请注意,即使这不是一个好主意,一些大网站还是会做这种事情。)
于 2010-07-07T02:19:07.203 回答