我有这个问题:安全使用iframe加载客户付款的页面。例如paypal或DineroMail或进行信用卡付款的页面。 因为我的老板希望客户觉得永远不会离开网站,所以在我的网站上我添加了一个iframe(在这里我加载了付款的网址)但不知道是否正确,安全或没有。
感谢。
答案 0 :(得分:4)
我和很多客户经历了好几次。很多事情与1)他不满意客户离开他的网站,担心收银台不会出现或2)它是一个自豪的事情,他希望客户感觉所有的服务可以在现场进行。
老板需要了解的一件事就是人们喜欢使用paypal,因为他们是值得信任的,而且对他们来说是一个熟悉的过程。他需要知道,不仅人们可以被重定向到贝宝,而且他们期待它。如果我在哪里遇到他们在PayPal的iFrame上检查我的网站,那对我来说将是一个红旗。为什么?因为通过重定向我可以看到地址栏。我知道我在paypals网站,我可以看到它是否是一个安全的连接。
如果他死的客户从未离开过网站。他需要做paypal payments pro之类的事情。这可能是他真正想要的解决方案。
修改强>
我在上周末处理同样的问题时找到了你的答案答案,并希望能够带回更好的东西!
它称为flex和它的自适应支付经典api。这需要一个额外的申请流程,你的老板可能会收取它是值得的。
https://developer.paypal.com/docs/classic/adaptive-payments/integration-guide/APIntro/
前往大约3/4的路程,你会看到一步一步的指示,完全按照你的方式去做。一个安全的贝宝iframe。
快速提示:如果必须将其合并到自己的流程中,请执行以下操作。
1)在向PayPal发送请求后获取您的paykey。 2)在教程中调用javascript源代码。 3)手动重定向窗口而不是他们创建的paypal按钮。又名https://www.paypal.com/webapps/adaptivepayment/flow/pay?paykey=YOURPAYKEY
另一个好消息来源是:https://www.paypalobjects.com/webstatic/en_US/developer/docs/pdf/pp_adaptivepaymentsmobile.pdf
答案 1 :(得分:2)
从技术安全的角度来看(同源政策),打开iframe
与打开新标签一样安全。
从用户界面的角度来看,在某些位置打开iframe
可能会欺骗用户,如果您不小心,可能会被指控试图点击用户点击进行无意付款。
我对PayPal自己的政策一无所知,但你应该确保它们没问题。
答案 2 :(得分:1)
如果Paypal允许它是安全的,但从UI的角度来看你必须要小心。
如果您的网站已加载http
并且您在网站中加载了IFrame,则即使IFrame已加载https
,用户也不会感到安全。这种方法也容易受到MiTM attack攻击,因为攻击者可以截取并将IFrame网址更改为http://www.evil.com
,并且在输入卡详细信息时没有人会更聪明。
如果您的网站加载https
,您的客户必须信任您的卡详细信息,因为他们无法确定IFrame是否实际指向https
上的Paypal域({{1} })而不是您的网站。是的,他们可以右键单击并查看源代码,但对于大多数用户来说这是一个太过分的步骤,从技术上讲,邪恶的网站可以在没有客户注意的情况下将IFrame换成邪恶的版本。
我的建议是实际重定向到https://www.paypal.com
,因为它会在地址栏中显示一个挂锁,并向用户保证他们会将详细信息提供给Paypal,而不是其他人。