我有這個問題:是否安全使用iframe來加載客戶將進行付款的頁面。例如paypal或DineroMail或進行信用卡付款的頁面。 因爲我的老闆希望客戶覺得永遠不會在我的網站離開網站,所以我添加了一個iframe(並且在這裏我加載了付款的網址),但不知道是否正確和安全。安全使用iframe進行付款嗎?
謝謝。
我有這個問題:是否安全使用iframe來加載客戶將進行付款的頁面。例如paypal或DineroMail或進行信用卡付款的頁面。 因爲我的老闆希望客戶覺得永遠不會在我的網站離開網站,所以我添加了一個iframe(並且在這裏我加載了付款的網址),但不知道是否正確和安全。安全使用iframe進行付款嗎?
謝謝。
從技術安全角度來看(同源策略),打開iframe
就像打開一個新選項卡一樣安全。
從用戶界面的角度來看,在某些位置打開iframe
可能會欺騙用戶,如果您不小心,可能會被指責嘗試點擊用戶進行無意支付。
我不能說貝寶的自己的政策,但你應該確保他們沒有問題。
謝謝您的回答。非常清楚。 – Natalie
如果貝寶允許它是安全的,但你必須從用戶界面的角度小心。
如果您的網站負荷在http
和您在網站內加載的IFRAME,它出現在用戶不被即使IFrame的負荷在https
安全。這種方法也容易受到MiTM attack的攻擊,因爲攻擊者可以攔截並將IFrame URL更改爲類似http://www.evil.com
的東西,並且在輸入卡詳細信息時沒有人會更聰明。
如果您的網站加載超過https
您的客戶與他們的信用卡資料信任你,因爲他們不能確定該IFrame實際上是指向貝寶域上https
(https://www.paypal.com
),而不是您的網站。是的,他們可以右鍵單擊並查看源代碼,但對於大多數用戶來說,這是一個過分的步驟,從技術上講,惡意網站可能會將IFrame替換爲惡意版本,而無需客戶注意。
我的建議是實際重定向到https://www.paypal.com
,因爲這樣它會在地址欄中顯示一個掛鎖,並向用戶保證他們將詳細信息提供給Paypal和其他人。
謝謝你的回答,但是例如,如果我重定向到PayPal或銀行更難以取代網址比如果我重定向到網站內的iframe? – Natalie
@Natalie。不,您只需在付款完成後重新導向。 – SilverlightFox
我已經和很多客戶一起經歷了這幾次。這很大程度上與1)他不願意離開他的網站的顧客擔心結賬不會出現,或者2)他希望客戶感受到所有服務都可以在網站上執行的自豪感。
老闆需要了解的一件事是人們喜歡使用貝寶,因爲他們是值得信賴的,而且對他們來說是一個熟悉的過程。他需要知道,不僅人們被重定向到PayPal,而且他們期望它。如果我在哪裏碰到一個網站,他們在PayPal的iFrame中檢查我,這對我來說是一個紅旗。爲什麼?因爲使用重定向我可以看到地址欄。我知道在PayPals網站的Im,我可以看到它是否有安全的連接。
如果他對一位永遠不離開網站的客戶已經死定了。他需要做點像paypal payments pro。這可能是他真正想要的解決方案。
編輯
我發現你的答案的答案與同樣的問題我自己上週末打交道時,想要更好的東西回來!
它被稱爲flex和其適應性付款經典API的一部分。這將需要一個額外的申請程序,你的老闆可能會收取很值得。
https://developer.paypal.com/docs/classic/adaptive-payments/integration-guide/APIntro/
頭一路下跌約3/4和你會走一步看一步的指示做你的loooking究竟什麼。一個安全的paypal iframe。
快速提示:如果您必須將其納入您自己的流程中,只需執行以下操作。
1)將請求發送給paypal後獲取您的paykey。 2)在教程中調用javascript源代碼。 3)手動重定向窗口,而不是其創建的PayPal按鈕。又名https://www.paypal.com/webapps/adaptivepayment/flow/pay?paykey=YOURPAYKEY
另一個很好的來源是:https://www.paypalobjects.com/webstatic/en_US/developer/docs/pdf/pp_adaptivepaymentsmobile.pdf
按照批准貝寶集成指南.. https://developer.paypal.com/docs/classic/products/ – user2864740