假设第三方网站未受https保护。
第三方网站集成了一个javascript调用,基本上从我的网站获取了一个付款表单,并在第三方网站上添加了付款表单。
此人填写付款表单,其表单操作为“https://example.com / ...”,其中example.com是我的网站。
即使他们在非https保护的网站上填写付款表单,他们的信息也会被加密,但表单操作受https保护。
基本上是这样的:显示付款表单的网站名为http://thirdparty.com/welcome
付款表格包含以下表格代码:
<form name = "payment" action = "https://example.com/process">
此表单显示在非https加密网站上:http://thirdparty.com/welcome 并被发送到https://example.com/process
该表格中提供的信息会被加密吗?
答案 0 :(得分:1)
他们提交的信息将在通过HTTP发送时加密......
...但是包含表单的页面不安全,可以通过enroute到客户端,并且可以添加额外的JavaScript。此类JavaScript可能会将他们输入的付款信息复制到攻击者的服务器(在加密之前)。
总的来说,这种方法不安全。
用户应该被引导到您网站托管的网站页面上,而不是嵌入在第三方网站上。