形式 - 陷阱

Question

場景：

我們提供託管網站，支付客戶內部使用（一種工具來支持他們的業務流程）。我們有要求提供一種表格，客戶可以將其「嵌入」其面向外部的網站。這種形式將允許公衆成員輸入一些細節來註冊興趣 - 這些數據將被推送到我們的遠程系統。

問：

目前我打算創建一個簡單的HTML網頁，客戶端的網絡傢伙可以包括在他們的網站上以簡單的方式（使用的iframe或一個對象標記）。如果我這樣做，當用戶嘗試提交嵌入式表單時（因爲它將轉到不同的域到他們當前正在瀏覽的域），我會遇到困難嗎？

我看了一下谷歌的AdSense，我發現他們只是提供了一個鏈接到一個JS文件，呈現他們的廣告 - 我不知道我看到這方面的優勢，但如果任何人有任何明智的想法..

無論使用哪種技術，我都必須對來自客戶站點的請求進行身份驗證。

Answer 1

如果我這樣做，當用戶嘗試提交嵌入式表單時（因爲它將轉到不同的域到它們當前正在瀏覽的表單），我會遇到困難嗎？

沒有問題，您需要將一個帖子url硬編碼到您的表單中。

無論使用哪種技術，我都必須驗證來自客戶站點的請求。

這可能很困難。該請求將來自用戶的瀏覽器。

你可以使它的要求爲客戶來定義包含頁面的一些JavaScript變量，如：

var client_id = '2315213452'; 

並附加一個腳本來撿起這個值，並提交到服務器與表單一起。

麻煩的是，任何黑客都能以純文本的方式看到這個值，並因此降低安全性。