我想使用eWay(http://eway.com.au)作为支付网关,但问题是它不允许在其托管页面上进行太多自定义。我想展示客户将支付的产品,但这是不可能的,所以我想也许只是将托管页面打入Iframe。但话说回来,我期待它的安全性问题,尽管无法确切地指出究竟是什么问题。如果somone可以让我更好地了解它是否会导致任何安全漏洞,我将不胜感激。
答案 0 :(得分:6)
从另一个网站嵌入iframe是一个安全的问题是用户没有简单的方法来检查这个网站是他们真正想要与之交谈的网站(你的网站很容易伪造iframe到如果你没有在他们的网站上使用HTTPS,你可以在你的一个网站上没有他们注意到:你可能是中间的人,或者你和他们之间的人可以。)
如果iframe指向HTTPS网站(最有可能是付款的情况),则用户将无法检查锁定或蓝/绿条。 可以查看页面的来源来检查URI,但是很少有用户知道如何做到这一点,更少的用户会去那么远。
(请注意,即使这不是一个好主意,some big websites do this sort of things anyway。)