我在英国处理在线支付工作的网站。其中一部分包括付款人认证步骤(又名3dsecure) - 这里,支付提供商在iframe内与银行的PA提供商进行通信;客户输入一个经过验证的秘密,如果一切顺利,我们的网站会收到回复。
因为它发生在iframe中,并且没有触及我们的网站,所以它对我们来说是不透明的。是否有任何我们可以使用的技巧
所以我们可以围绕流程的这个阶段进行一些监控?
答案 0 :(得分:0)
由于3D Secure的名称代表3 domains involved,因此iframe不能属于您自己,因此您无法看到发生了什么。这就是安全模型,任何现有的解决方法都意味着它存在缺陷。一些支付提供商更喜欢全窗口重定向,这更具限制性。
有一些bugs在iframe中“泄露”了键盘事件,但同样,这只是一个例外。
您唯一可以依赖的是结果重定向 - 您的成功/失败登录页面,以及来自ACS(访问控制服务器)/您的3ds提供商的服务器到服务器通知(如果可用)。