父域可以捕获来自外部 iframe 的输入吗?

【问题标题】:Can a parent domain capture input from a foreign iframe?父域可以捕获来自外部 iframe 的输入吗?
【发布时间】:2019-11-09 03:33:19
【问题描述】:

我的团队帮助管理多家电子商务商店。我们一直使用 Recurly 进行计费。

我注意到他们实现了一种奇怪的安全方法:每个表单输入都包含在 Recurly 域的 iframe 中。在每个 iframe 中,都有一个唯一的令牌。当用户提交最终订单时,所有信息都会在后端重新组合在一起。

当然,我一直在想办法打破这种情况,以更好地保护我们的客户。起初,我认为绕过是微不足道的,但我很难过。

在我们客户的服务器上执行代码的人是否可以通过 iframe 捕获支付数据?

【问题讨论】:

    标签: javascript security iframe xss csrf


    【解决方案1】:

    如果您可以访问服务器,您可以设置代理服务器并进行中间人攻击以获取数据。 G

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-10-23
      • 1970-01-01
      • 1970-01-01
      • 2014-02-19
      • 1970-01-01
      • 2011-10-24
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode