logo标签列表

在不安全的页面上安全地嵌入来自不同域的iframe

iframehttpscross-domainsecurity
8
我们公司正在考虑允许第三方网站使用我们的在线结账系统。
客户表示他们想使用一个类似于灯箱式弹出窗口来显示结账信息。并且他们希望这个功能在网站的每个页面都可以使用,因此大多数页面都是不安全的。我们的结账系统和客户网站显然位于不同的域名下。
我猜我可以使用一个安全的iframe(使用https)来显示我们的结账系统。
这个iframe是否真的安全?
这样做明智吗?(我的直觉告诉我不行,因为用户如何知道页面是安全的)
有没有更好的方法来实现相同的功能?
嗨,卡尔, 你是怎么做的?我也在做类似的事情,但遇到了一些问题。你能分享一下你的发现吗? - rAm
嗨,rAm。最终我们没有继续进行这个项目。但是我会推动将页面切换到安全服务器,以便用户可以知道页面是安全的。这是OpenID采取的方法。 - Karl
WePay.com将此应用于其在其他网站上的付款处理表单。我以前在不安全的页面上看到过弹出窗口,并且无法判断它是否安全。 - Chloe
3个回答
4
是的,iframe是安全的,但您说得对,客户实际上无法确定它是否安全。另一方面,大多数用户无论如何都无法确定页面是否安全——散布几个挂锁图像就能让他们信服。
当他们点击弹出结帐时,您能否将其发送到相同的HTTPS网址下然后弹出它(当然,您需要自己的SSL证书)?
1

你看过其他类似的结账系统是如何工作的吗?例如eBay上的PayPal结账?它们会带你通过“全屏”结账流程,并在交易完成后返回原始网站。

0

我知道这是一个老问题,但我也打算做同样的事情。解决方法要么是使用 PayPal -> 转到安全的付款网站 -> 返回 return-url。或者你可以设置自己的网站,使用非常通用、简短的名称,比如 shop.com(显然已被占用),但是另外一个名称则未被占用。

你的客户可以拥有自己的空间,例如 https/www.theirsitename.shop.com,从 http/www.theirsitename.com 移动到上述空间。

大多数用户甚至无法告诉他们已经进入了新的网站,而且该页面将是安全的。 为了获取他们的产品,你可以让他们从自己的端口进行 POST,可能还要让他们 POST 一个 CSS 文件,以完全改变布局,使其看起来像他们自己的网站。

一个 https 的 iframe 是否允许将自己重定向到不同的域名(https 或非 https)? - DanMan
@DanMan 我非常确定。你为什么不试一下呢?我认为问题出现在将https页面与不安全的http内容混合使用时。例如,如果您有一个https iframe框架,它是在https页面中显示还是不是?如果不是,则最好使用弹出窗口来进行https。 - Ozzy
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接