我正在设计一个小部件,当在第三方网站中点击时,需要从我们的服务器进行身份验证(用户名/密码)。我倾向于看到大多数(如果不是全部)使用需要身份验证的小部件的网站倾向于使用弹出窗口而不是页内对话框(例如使用插入的iframe),我想知道为什么会这样。 。是否存在区分插入的iframe与弹出窗口的实际安全因素?
答案 0 :(得分:2)
在许多情况下,这是由于效率和安全性: 在许多站点中,您通过SSL(HTTPS)进行身份验证。但是,支持SSL连接的成本高于普通HTTP。
因此,当您是站点中的访问者时,您使用HTTP。当您需要进行身份验证时,可以从单独窗口进行身份验证,通常通过SSL- 进行查看地址行(并且可以验证您是否实际使用SSL,并检查证书等)的东西)
在您访问网上商店时,您可以找到常见的模式,当您付费时(只有您从HTTP移动到HTTPS)。
这种方法存在一些问题(在整个连接中使用SSL会更安全),但效率(这意味着更低的成本)通常会获胜。对于不是很大的公司来说,这是主要的。