gpt4 book ai didi

ssl - iframe 非 SSL 站点上的 SSL 安全表单

转载 作者:太空宇宙 更新时间:2023-11-03 12:41:25 24 4
gpt4 key购买 nike

我收到来自客户的请求,希望他们现有的表格之一出现在另一个网站上。

他们希望在 iframe 中显示付款表单。

如果涉及支付处理,将 SSL 网站中的 iframe 嵌入到非 SSL 网站中有什么影响?

最佳答案

现代网络浏览器不会给出任何安全警告,因为父窗口通过 HTTP 不安全地运行。不过缺点是您的网络浏览器不会在地址栏中显示安全锁图标,因为安全内容位于子窗口 (iframe) 内,因此您的用户可能会因为担心表单不安全而回避。

中间人攻击不太可能发生,因为所有网络浏览器,无论是经典还是现代,都拒绝通过 Javascript 访问 iframe 内容,因为 iframe 使用不同的协议(protocol)和/或域名。此时与 iframe 通信的唯一方法是通过现代 Web 浏览器中实现的 postMessage 函数,它允许通过 Javascript 进行跨域通信。即使您使用的是 postMessage,iframe 也需要包含用于监听来自父窗口的 postMessage 事件的代码,在 iframe 中开发付款表单的情况下,只有父窗口需要监听之后的事件付款已处理。因此,如果您通过单方面的 postMessage 进行通信(iframe 仅执行 postMessage,父级监听消息),则极不可能发生中间人攻击。

当然,任何人都可以覆盖事件监听器并在父窗口上执行代码,从而诱使服务器相信已处理付款。那时您需要在服务器端代码中采取预防措施,检查以确保交易确实合法发生。在我的例子中,我的支付表单 (iframe) 在数据库中创建了一个临时 key ,并通过 postMessage 将该 key 发送到父窗口。然后,父窗口对服务器进行 AJAX 调用,检查数据库以查看 key 是否匹配,并在创建交易确实发生的记录之前快速删除 key 。

关于ssl - iframe 非 SSL 站点上的 SSL 安全表单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2457921/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com