【问题标题】:Does 3D secure and net banking sites use x-frame-options header?3D 安全和网上银行网站是否使用 x-frame-options 标头?
【发布时间】:2014-12-08 18:45:36
【问题描述】:

我正在尝试在 IFrame 中嵌入 3D 安全和网上银行页面,并且我能够在我测试过的几个网站上成功实现它。但我怀疑如果 ALL 银行页面会在 IFrame 中打开。

如果任何银行将 x-frame-otpions 设置为 SAMEORIGIN 或 DENY 怎么办?

尝试搜索有关此的技术规范,但找不到任何东西。
验证银行应该/不应该使用此标头是否存在通用的经验法则或约定(在任何规范中)?我如何相信这是否适用于所有银行?
任何澄清都会有很大帮助。

P.S.:我知道还有其他方法可以打开授权网关。但是,我仍然需要澄清这种方法。

【问题讨论】:

  • 最好能得到这个问题的明确答案。据我了解,3D 安全依赖于 IFrame,我们不知道银行 URL,因此所有银行网站都需要 /not/ 实施 x-frame-options

标签: iframe x-frame-options onlinebanking 3d-secure


【解决方案1】:

您通常不会只打开带有银行域的 iframe。相反,您从外部支付提供商域(adyen、braintree 等)打开一个 iframe,然后他们在内部打开另一个 iframe,这样他们只需要允许支付提供商 iframe 与之通信。

有趣的是,这些 iframe 通常仍然具有同源策略。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2013-11-16
    • 2018-01-09
    • 1970-01-01
    • 1970-01-01
    • 2015-04-15
    • 2017-10-16
    • 2019-12-07
    • 2019-03-15
    相关资源
    最近更新 更多