我想使用 eWay (http://eway.com.au) 作为支付网关,但问题是它不允许在其托管页面上进行太多自定义。我想展示客户会支付的产品,但这是不可能的,所以我想可能只是将托管页面打入 iframe。但是话又说回来,我期待它会出现安全问题,尽管无法准确指出究竟是什么问题。如果有人能给我一个更好的主意,如果它会导致任何安全漏洞,我将不胜感激。
【问题讨论】:
标签: security iframe payment gateway
从另一个网站嵌入 iframe 以确保安全的问题在于,用户没有简单的方法来检查该网站是否是他们真正想要与之交谈的网站(您的网站很容易伪造该 iframe 以在他们不注意的情况下访问您的某个网站:您可能是中间人,或者您和他们之间的某个人,如果您没有在您的网站上使用 HTTPS)。
如果 iframe 指向 HTTPS 网站(很可能是付款的情况),用户将无法检查锁定或蓝/绿条。 可以查看页面的源代码来检查 URI,但很少有用户知道如何做到这一点,甚至更少的人会走得那么远。
(请注意,即使这不是一个好主意,some big websites do this sort of things anyway。)
【讨论】: