我担心的是下一个问题。
我有一个网页(没有ssl,http://example.com),我在其中实现了一个JavaScript例程,该例程为https网页(https://secure.example.edu)创建了一个IFrame。此时一切正常,但如果我想从Chrome控制台,我可以更改iframe位置(即使有相同的来源(X-FRAME-OPTIONS)策略)与302 Moved Permanently。所以我的问题是,用户是否可以连接到http://example.com而且他不知道iframe位置会发生变化?没有任何代码可以在example.com或secure.example.edu上执行此操作。
L.E。例如,想象一下在secure.otherdomain.com上我有一个表格,我提交了我的信用卡。我如何向用户保证他将信息提交到该域而不是其他域。
答案 0 :(得分:2)
我如何向用户保证他将信息提交到该域而不是其他域。
你不应该向用户保证任何这样的事情,因为它们可能不是。地址栏显示example.com,并且没有指示表单来自用户可以实际验证的位置。它可能是来自example.com的页面元素,指向其他域的iframe,或者动态更改为指向攻击者服务器的iframe。
我看到像braintree或taxamo这样的网页使用该选项通过iframe获取付款信息到他们的网页
要求用户将信用卡信息输入到未在地址栏中显示https的页面,这显然是不安全的,并明确违反商家的PCI-DSS合规性要求。
通常,商家为自己的网站拥有自己的证书,并且期望消费者信任商家,而不是信任第三方支付处理服务。商家不应该在非https页面上包含持卡人数据表格(通过iframe或任何其他方式),所以如果你发现了一些他们需要踢的话。
答案 1 :(得分:1)
我认为这绝不是百分百确定。
但是,你可以这样做:使用普通的浏览器窗口而不是iframe。用户可以检查地址栏中的地址和相关证书。通过使用iframe,这些基本信息对于简单用户是隐藏的。