我們公司正在尋求允許第三方網站使用我們的在線結賬系統。在不安全頁面上的安全iframe在不同的域
一位客戶表示他們希望能夠使用lightbox樣式的彈出窗口來顯示結帳。而且他們希望在網站的每個頁面都可以使用它,因此大多數頁面都是不安全的。我們的結帳系統和客戶網站顯然位於不同的域。
我猜我可以使用安全的iframe(使用https)來顯示我們的結帳系統。
此iframe實際上是否安全?
是明智的事情嗎? (我的內心說不,因爲用戶如何告訴頁面是安全的)
有沒有更好的方法來實現這個相同的功能?
你見過其他類似的結賬系統是如何工作的嗎?例如eBay上的PayPal結帳?當交易完成後,他們會通過「全屏」結賬流程並返回原始網站。
是的,iframe將是安全的,但你是正確的,顧客實際上不會知道它是安全的。另一方面,大多數用戶無法判斷一個頁面是否安全 - 分散在附近的一些掛鎖圖片將說服他們中的大多數。
當你點擊彈出結帳時,你可以將它們發送到HTTPS下的同一網址,然後彈出(你當然需要你自己的SSL證書)嗎?
我知道這是一個老問題,但我打算做同樣的事情。解決方法是要麼做PayPal的事情 - >去一個安全的網站付款 - >返回到返回網址。或者你可以建立一個非常通用的簡稱,比如shop.com(很明顯是採用),但是沒有采用。
然後,您的客戶可以擁有自己的空間,如https/www.theirsitename.shop.com,
,以便他們從http/www.theirsitename.com移動到上述位置。
大多數用戶甚至無法知道他們已經轉移到新的網站,並且該網頁將是安全的。 爲了獲得他們的產品,你可以讓他們從他們的最後張貼,也許還讓他們發佈一個CSS文件,這將完全改變佈局,使它看起來像他們自己的網站。
Hi Karl, 你是怎麼處理這件事的?我正在做類似的事情,並且有一些問題。你能分享你的發現嗎? – rAm 2009-05-13 16:51:10
Hi rAm。最後,我們從來沒有繼續這個項目。但是我會推動將頁面切換到安全服務器,以便用戶可以告訴頁面是否安全。這是openID採用的方法。 – Karl 2009-05-18 13:13:56