我在许多小型企业电子商务网站上看到的一个常见功能是,当我点击CHECKOUT按钮时,我被带离网站并被重定向到第三方支付网关的网址,如paypal,authorize.net等...在我在第三方网站上付款后,我被重定向回小企业电子商务网站。
我想为我的一些客户简化这个过程。我计划制作一张其他人可以通过iframe嵌入其网站的付款表单。付款表格将在SSL后面。当我的付款表单收到信息时,我会将其传递给像paypal这样的商家网关,并使用成功/失败响应重新加载iframe。
此iframe方法是否存在任何重大问题?我问,因为我不记得支付网关,例如paypal为他们的支付页面提供iframe嵌入代码,即使这似乎是一件微不足道的事情。如果他们可以向网站所有者提供结帐网址以嵌入他们的网页,他们应该可以轻松地提供iframe嵌入代码。
答案 0 :(得分:5)
HTTPS连接安全性的一个基本方面是验证远程方的身份。与某人秘密交换数据是一回事,但你需要知道与谁在一起。
从技术角度来看,服务器的身份使用其证书进行验证:
但是,技术方面只是解决方案的一部分。用户需要能够查看浏览器尝试连接的站点。这是一个用户界面问题,只有用户可以检查浏览器尝试做什么,这取决于其UI显示的内容(期望大多数用户使用开发人员工具是不现实的。)
使用iframe会隐藏用户实际连接到该iframe的站点的名称(只有主页的地址显示在地址栏中)。这可以防止用户进行此验证。
此外,如果HTTPS iframe位于HTTP页面内,情况会更糟,在这种情况下,用户甚至无法检查是否使用了HTTPS。
有嵌入式iframe的错误示例,特别是3-D Secure,因为(a)它建议使用iframe和(b)即使没有使用iframe,名称通常与用户的银行,商家网站或信用卡公司。
答案 1 :(得分:1)
一个潜在的问题(我实际上是作为用户遇到的)是托管页面可能不会使用SSL并且有一点点“告诉”人们被告知在关于成为精明互联网的文章中寻找购物者。由于用户的谨慎,在最后一刻可能会失去销售。
跨域脚本编写也存在潜在问题。这是一个很大的话题,即使你想要它也可能非常具有挑战性,但这并非不可能,所以在那里有一些滥用的可能性。