我有一个问题:使用 iframe 加载客户付款的页面是否安全。例如 paypal 或 DineroMail 或进行信用卡付款的页面。 因为我的老板希望客户感觉永远不会离开网站,所以我在我的网站中添加了一个 iframe(并在其中加载了付款的 url),但不知道是否正确和安全。
谢谢。
【问题讨论】:
标签: html security iframe paypal payment
从技术安全的角度来看(同源策略),打开iframe 与打开新标签页一样安全。
从 UI 的角度来看,在某些位置打开 iframe 可能会欺骗用户,如果您不小心,您可能会被指控试图点击劫持用户进行无意付款。
我不能说 PayPal 自己的政策,但您应该确保他们同意。
【讨论】:
如果 Paypal 允许这样做是安全的,但从 UI 的角度来看,您必须小心。
如果您的网站是通过http 加载的,并且您在您的网站中加载了 IFrame,那么即使 IFrame 是通过https 加载的,用户也会认为它并不安全。这种方法也容易受到MiTM attack 的攻击,因为攻击者可以拦截 IFrame URL 并将其更改为类似http://www.evil.com 的内容,并且在输入卡详细信息时没有人会更聪明。
如果您的网站通过 https 加载,您的客户必须信任您的信用卡详细信息,因为他们无法确定 IFrame 实际上指向的是 https (https://www.paypal.com) 上的 Paypal 域,而不是您的网站.是的,他们可以右键单击并检查源代码,但这对大多数用户来说太过分了,从技术上讲,一个邪恶的网站可以在客户没有注意到的情况下将 IFrame 换成一个邪恶的版本。
我的建议是实际重定向到https://www.paypal.com,因为它会显示在地址栏中并带有挂锁,并向用户保证他们将其详细信息提供给 Paypal 而不是其他人。
【讨论】:
我和很多客户都经历过几次。这在很大程度上与 1)他对客户离开他的网站感到不舒服,因为担心结帐不会发生,或者 2)他希望客户觉得所有服务都可以在网站上执行,这是一件值得骄傲的事情。
您的老板需要了解的一件事是,人们喜欢使用贝宝,因为他们值得信赖,而且这是他们熟悉的流程。他需要知道,人们不仅可以接受重定向到贝宝,而且他们也希望如此。如果我在哪里遇到他们在贝宝上的 iFrame 中检查我的网站,那对我来说将是一个危险信号。为什么?因为通过重定向我可以看到地址栏。我知道我在贝宝网站上,我可以查看它是否安全连接。
如果他对永远不会离开网站的客户死心塌地。他需要做类似paypal payments pro 的事情。这大概是他真正想要的解决方案。
编辑
我在上周末自己处理同样的问题时找到了你的答案,我想回来做一些更好的事情!
它被称为 flex,它是自适应支付经典 api 的一部分。这将需要额外的申请流程,您的老板可能会为此付费,这是非常值得的。
https://developer.paypal.com/docs/classic/adaptive-payments/integration-guide/APIntro/
往下走大约 3/4 处,您会看到分步说明,让您可以按照自己的要求进行操作。一个安全的贝宝 iframe。
快速提示:如果您必须将其合并到您自己的流程中,只需执行以下操作。
1) 将请求发送到贝宝后获取您的支付密钥。 2) 在教程中调用 javascript 源代码。 3)手动重定向窗口,而不是他们创建的贝宝按钮。又名https://www.paypal.com/webapps/adaptivepayment/flow/pay?paykey=YOURPAYKEY
另一个好的来源是:https://www.paypalobjects.com/webstatic/en_US/developer/docs/pdf/pp_adaptivepaymentsmobile.pdf
【讨论】: