安全使用iframe進行付款嗎？

Question

我有這個問題：是否安全使用iframe來加載客戶將進行付款的頁面。例如paypal或DineroMail或進行信用卡付款的頁面。 因爲我的老闆希望客戶覺得永遠不會在我的網站離開網站，所以我添加了一個iframe（並且在這裏我加載了付款的網址），但不知道是否正確和安全。

謝謝。

Answer 1

從技術安全角度來看（同源策略），打開iframe就像打開一個新選項卡一樣安全。

從用戶界面的角度來看，在某些位置打開iframe可能會欺騙用戶，如果您不小心，可能會被指責嘗試點擊用戶進行無意支付。

我不能說貝寶的自己的政策，但你應該確保他們沒有問題。

Answer 2

如果貝寶允許它是安全的，但你必須從用戶界面的角度小心。

如果您的網站負荷在http和您在網站內加載的IFRAME，它出現在用戶不被即使IFrame的負荷在https安全。這種方法也容易受到MiTM attack的攻擊，因爲攻擊者可以攔截並將IFrame URL更改爲類似http://www.evil.com的東西，並且在輸入卡詳細信息時沒有人會更聰明。

如果您的網站加載超過https您的客戶與他們的信用卡資料信任你，因爲他們不能確定該IFrame實際上是指向貝寶域上https（https://www.paypal.com），而不是您的網站。是的，他們可以右鍵單擊並查看源代碼，但對於大多數用戶來說，這是一個過分的步驟，從技術上講，惡意網站可能會將IFrame替換爲惡意版本，而無需客戶注意。

我的建議是實際重定向到https://www.paypal.com，因爲這樣它會在地址欄中顯示一個掛鎖，並向用戶保證他們將詳細信息提供給Paypal和其他人。

Answer 3

我已經和很多客戶一起經歷了這幾次。這很大程度上與1）他不願意離開他的網站的顧客擔心結賬不會出現，或者2）他希望客戶感受到所有服務都可以在網站上執行的自豪感。

老闆需要了解的一件事是人們喜歡使用貝寶，因爲他們是值得信賴的，而且對他們來說是一個熟悉的過程。他需要知道，不僅人們被重定向到PayPal，而且他們期望它。如果我在哪裏碰到一個網站，他們在PayPal的iFrame中檢查我，這對我來說是一個紅旗。爲什麼？因爲使用重定向我可以看到地址欄。我知道在PayPals網站的Im，我可以看到它是否有安全的連接。

如果他對一位永遠不離開網站的客戶已經死定了。他需要做點像paypal payments pro。這可能是他真正想要的解決方案。

編輯

我發現你的答案的答案與同樣的問題我自己上週末打交道時，想要更好的東西回來！

它被稱爲flex和其適應性付款經典API的一部分。這將需要一個額外的申請程序，你的老闆可能會收取很值得。

https://developer.paypal.com/docs/classic/adaptive-payments/integration-guide/APIntro/

頭一路下跌約3/4和你會走一步看一步的指示做你的loooking究竟什麼。一個安全的paypal iframe。

快速提示：如果您必須將其納入您自己的流程中，只需執行以下操作。

1）將請求發送給paypal後獲取您的paykey。 2）在教程中調用javascript源代碼。 3）手動重定向窗口，而不是其創建的PayPal按鈕。又名https://www.paypal.com/webapps/adaptivepayment/flow/pay?paykey=YOURPAYKEY

另一個很好的來源是：https://www.paypalobjects.com/webstatic/en_US/developer/docs/pdf/pp_adaptivepaymentsmobile.pdf