我正在尝试将我们所有各种 Web 应用程序的所有付款条目“合并”在一个“托管”付款条目 Web 应用程序下。为了使我们的各种 Web 应用程序尽可能“灵活”并且不影响安全性,我想我会创建一个标准的 web2.0 小部件,它将 iFrame 来自同一二级域上的 Web 应用程序的支付输入/处理屏幕, 但不同的 3 级域。
IE:这些“独立”的网络应用程序:
- https://www.company.com/gifts/store
- https://www.company.com/cars/store
- https://www.company.com/hotels/store
将所有 iframe 在来自https://payments.company.com/payment-entry.php的“灯箱”隐喻内容中的“签出”点
[https://payments.company.com] 将位于完全不同的服务器上,并受 PCI 合规性约束,因为它是唯一暴露于 CC 数据的 Web 应用程序。目标是消除尽可能多的内部和外部应用程序看到 CC 数据。
如果我有通配符证书,是否有人看到此 iframe 相同的 3 级域解决方案存在任何安全或跨站点脚本问题?