Я хотел бы использовать eWay (http://eway.com.au) в качестве платежного шлюза, но проблема он не позволяет много настраивать на своей размещенной странице. Я хотел бы отображать продукты, за которые клиент будет платить, но это невозможно, поэтому я подумал, что, может быть, просто взломать размещенную страницу в Iframe. Но опять же, я ожидаю проблем с безопасностью, хотя не могу точно определить, в чем именно может быть проблема. Я был бы признателен, если бы кто-нибудь мог дать мне лучшее представление о том, вызовет ли это какие-либо дыры в безопасности.
Страница платежного шлюза (eWay) в iframe — проблемы с безопасностью?
Ответы (1)
Проблема с внедрением iframe с другого веб-сайта, который должен быть безопасным, заключается в том, что у пользователей нет простого способа проверить, является ли этот веб-сайт тем, с которым они действительно хотят общаться (ваш веб-сайт может довольно легко подделать этот iframe, чтобы он был на одном из них). ваших сайтов без их ведома: вы можете быть посредником, или кто-то между вами и ими, если вы не используете HTTPS на своем сайте).
Если iframe указывает на HTTPS-сайт (скорее всего, в случае платежей), пользователи не смогут проверить замок или сине-зеленую полосу. Можно заглянуть в источник страницы, чтобы проверить URI, но очень немногие пользователи знают, как это сделать, еще меньше заходят так далеко.
(Обратите внимание, что, даже если это не очень хорошая идея, некоторые крупные веб-сайты все равно делают подобные вещи. а>.)