我有一些重要的结帐页面通过安全页面中的iframe提供。它工作得很好(如果他们知道URL),用户仍然可以直接访问该页面。无论如何要检查是否通过iFrame和拒绝直接访问来提供页面?
答案 0 :(得分:1)
没有。即使有它也很容易被欺骗(用一个iframe创建一个空白的html页面并不困难)。我建议你重新考虑你的安全策略。 例如,您可以使用一些唯一的URL来引用您的页面,该页面将由父页面生成,例如
<iframe src="http://secret.com/checkout_page.php?id=9865786&hash=hkdjlvhb3k4h5t98fgh34kh" />
在结帐页面上,您必须检查该ID是否唯一且之前从未使用过,并且该哈希对应于此ID。对于哈希,你可以使用md5 with salt(md5(id。$ salt))。 这将是非常安全的(只要$ salt保持安全)。