security - iframe 中的支付网关 (eWay) 页面 - 有任何安全问题吗?

标签 security iframe payment gateway

我想使用 eWay ( http://eway.com.au ) 作为支付网关,但问题是它不允许在其托管页面上进行太多自定义。我想显示客户会付费的产品,但这是不可能的,所以我想也许只是将托管页面敲入 Iframe 中。但话又说回来,我预计它会出现安全问题,尽管无法准确指出到底是什么问题。如果有人能让我更好地了解这是否会导致任何安全漏洞,我将不胜感激。

最佳答案

从另一个本应安全的网站嵌入 iframe 的问题在于,用户没有简单的方法来检查该网站是否是他们真正想要交谈的网站(您的网站可以很容易地伪造该 iframe 来在他们没有注意到的情况下出现在您的网站之一:您可能是中间人,或者您和他们之间的某个人也可能(如果您没有在网站上使用 HTTPS)。

如果 iframe 指向 HTTPS 网站(最有可能是付款情况),用户将无法检查锁或蓝/绿栏。 可以查看页面的源代码来检查 URI,但很少有用户知道如何执行此操作,甚至更少的用户会做到这一点。

(请注意,即使这不是一个好主意,some big websites do this sort of things anyway。)

关于security - iframe 中的支付网关 (eWay) 页面 - 有任何安全问题吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3191422/

相关文章:

Javascript/Jquery 将变量一分为二以实现 Stripe 集成

php - 网络安全 : where to begin

c++ - 如何将私钥保存在安全内存中

security - 忘记密码重置页面: should the user need to enter a username/email as well?

javascript - 使用 postMessage() 绕过原点被阻止的框架来访问跨原点框架

javascript - 使用 window.frames 属性获取 iframe 与 iframe ID

html - 为什么我们不能有一些 AntiXss Literal html 标签

jquery - 使用 Jquery 调整 Tumblr Post iframe 的大小

events - Drupal 6 注册预订、付款预订系统

php - 无法从 Skrill 访问 $_POST 变量