是否可以使用外部来源的iframe中的javascript访问表单数据?
例如:我在example.com上有一个网上商店。如果我使用支付网关stripe.com与iframe集成https://stripe.com/checkout是否可以在间隔1s的iframe弹出窗口中访问输入数据用户插入?
我想确定我的一个案例侵入我的网站,无法访问客户的付款细节。
答案 0 :(得分:2)
是否可以使用外部来源的iframe中的javascript访问表单数据?
没有。同源策略阻止了这一点。
如果我使用支付网关stripe.com与iframe集成https://stripe.com/checkout是否可以访问输入数据用户插入
不是简单的JS方式,但对iframe中的内容进行了多次点击劫持攻击。请参阅示例http://www.contextis.com/documents/5/Context-Clickjacking_white_paper.pdf
然而在这种情况下,这一点没有实际意义,如:
我想确定我的一个案例侵入我的网站,无法访问客户的付款细节。
这是不可能实现的。如果您的站点遭到入侵(无论是在服务器上还是在客户端通过XSS),攻击者都可以更改父页面,使其弹出伪造的结帐iframe,而不是使用真正的Stripe脚本,该脚本会泄漏输入的付款详细信息。< / p>
所有基于iframe的结帐都存在风险:用户无法验证iframe的来源和HTTPS详细信息,因此他们必须信任父网页(商家)的信息。