程序员经验分享-hwhale

访问 iframe 内的表单数据

2023-12-15

是否可以使用 iframe 内的 javascript 从外部源访问表单数据?

例如:我在 example.com 上有一个网上商店。如果我使用带有 iframe 集成的支付网关 stripe.comhttps://stripe.com/checkout是否可以访问用户在 iframe 弹出窗口中以 1 秒的间隔插入的输入数据?

我想确保万一有人侵入我的网站,就无法访​​问客户的付款详细信息。


是否可以使用 iframe 内的 javascript 从外部源访问表单数据?

不可以。同源策略可以防止这种情况发生。

如果我使用带有 iframe 集成的支付网关 stripe.comhttps://stripe.com/checkout是否可以访问用户插入的输入数据

不是以简单的 JS 方式,但已经出现了许多针对 iframe 中内容的点击劫持攻击。参见示例http://www.contextis.com/documents/5/Context-Clickjacking_white_paper.pdf

然而,在这种情况下,这一点没有实际意义,因为:

我想确保万一有人侵入我的网站,就无法访​​问客户的付款详细信息。

这是不可能实现的。如果您的网站遭到破坏(无论是在服务器上还是通过 XSS 在客户端上),攻击者可以更改父页面,使其弹出一个虚假的结帐 iframe,而不是使用真正的 Stripe 脚本,该脚本会泄露输入的付款详细信息。

这是所有基于 iframe 的结账的风险:用户无法验证 iframe 的来源和 HTTPS 详细信息,因此他们必须信任父页面(商家)的来源和 HTTPS 详细信息。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

html

security

iframe

stripepayments

访问 iframe 内的表单数据 的相关文章

  • 暂停 Web Audio API 声音播放

    如何为我的音频创建暂停功能 我的下面的脚本中已经有一个播放函数 http pastebin com uRUQsgbh http pastebin com uRUQsgbh function loadSound url var request

  • 如何使用javascript将div从左向右移动

    I have div named movingImage每次单击按钮时我都想向右移动 50px 这是我的 JavaScript function moving Image document getElementById movingImag

  • 如何开始使用旧版 1.2.0.RC4 TideSDK? [关闭]

    就目前情况而言 这个问题不太适合我们的问答形式 我们希望答案得到事实 参考资料或专业知识的支持 但这个问题可能会引发辩论 争论 民意调查或扩展讨论 如果您觉得这个问题可以改进并可能重新开放 访问帮助中心 help reopen questi

  • 如何使用 webRTC 禁用系统音频增强?

    在不同的系统 Windows Android 等 上有一些 内置 音频增强功能 例如 AEC 自动回声消除 NR 降噪 和自动增益控制 每个人都可以以任意组合关闭或打开这些功能 某些浏览器上还有音频增强功能 我知道 Chrome 和 Fir

  • 使用 Nightwatch.js 切换到框架

    我正在测试的 UI 使用 iframe 我正在尝试使用 frame 0 调用切换到该 iframe module exports test function browser browser url my url waitForElement

  • 在 javascript 中将 3 个函数合并为一个

    我尝试将这三个功能合二为一 但这样做后 它不起作用 你能帮我把它们结合起来吗 function showForm id name document getElementById submitForm style display block

  • Laravel 7 会话在不同域中的 IFRAME 上中断

    我尝试在这里开发一个简单的 Laravel 应用程序 https shopifyapp sjranjan com https shopifyapp sjranjan com 此登录工作正常 现在我将上面的 URL 推送到此页面的 ifram

  • 适用于所有浏览器的 Center HTML 5 音频播放器

    我尝试过这样的代码 div style margin 0 auto div

  • HTML 文本下方的白点

    我在网站上的输出在文本下方有点 为什么会出现以及如何删除它 HTML p align center font size 4 5 color 979C91 a href customer html span class fa fa penci

  • WeasyPrint HTML 到图像的转换:如何使图像大小适应内容?

    我需要将一些 HTML 转换为 Python 中的图像 我正在使用威易印刷 https weasyprint org 我希望图像大小能够适应内容 使用以下命令时 我得到的图像比内容大得多 A4 pip install weasyprint

  • Javascript 字符串/整数比较

    我在 HTML 中存储一些客户端参数 然后需要将它们作为整数进行比较 不幸的是我遇到了一个我无法解释的严重错误 该错误似乎是我的 JS 将参数读取为字符串而不是整数 导致我的整数比较失败 我生成了一个错误的小例子 我也无法解释 运行时以下返

  • 如何禁止匿名访问 IBM Cloud(Bluemix) 上的 NodeRed UI 仪表板?

    我正在与node red 在样板 IBM 云上 我知道有一种方法可以更改环境变量 NODE RED USERNAME 和 NODE RED PASSWORD 的值来更改编辑器流程的用户名和密码 但是 UI 仪表板怎么样 我的意思是使用仪表板

  • 如何在 Bootstrap 中将单选按钮设置为“选中”? [复制]

    这个问题在这里已经有答案了 我使用 Bootstrap 按钮作为单选按钮 http getbootstrap com javascript buttons http getbootstrap com javascript buttons 这

  • Bootstrap 页脚不在底部

    我试图强制我的页脚位于网站底部 我不希望它在滚动时粘住 只是在向下滚动网页时出现在底部 目前 网页显示时页脚位于内容下方 我添加了这样的代码bottom 0 并发现它粘住了并且不适合我的网站 我还添加了这样的代码html body heig

  • 在java中将HTML转换为RTF?

    我需要将 HTML 转换为 RTF 我正在使用以下代码 private static String convertToRTF String htmlStr OutputStream os new ByteArrayOutputStream

  • 为什么 jQuery 对损坏标记的解释与浏览器不同?

    我之前已经回答过这个问题 https stackoverflow com a 19101905 1253312 但我并不完全理解why答案是正确的 答案的要点 p p function jqrender html a href http w

  • 将“http://”添加到尚未包含“http://”的 URL 前面

    我有一个input保存 URL 的字段 我希望这个保存的输入能够识别变量开头不存在 Http 但不知道从哪里开始 是否可以仅检查字符串的一部分 然后有一个在必要时追加的函数 如果您还想允许 https 我会使用如下正则表达式 if http

  • 持续运行的 C# 代码 - 服务还是单独的线程?

    我有一个 NET 4 Web 应用程序 它有 3 个关联的独立项目 DAL BAL 和 UI 我正在使用实体框架进行数据库交互 我有代码循环遍历一堆数据库数据 根据找到的内容调用方法 然后更新数据库 我希望这段代码一直运行 同时 我希望用户

  • 使用非管理员帐户时,SQL Linked Server 返回错误“不存在登录映射”

    我有一个本地 SQL Server 2008R2 我已将链接服务器配置为远程数据库 当我使用 SQL 登录帐户登录本地服务器时 链接服务器工作得很好sysadmin服务器角色 我可以查询远程服务器 因此我知道链接服务器设置是正确的 但是 如

  • 为什么变量 1 += 变量 2 比变量 1 = 变量 1 + 变量 2 快得多?

    我继承了一些 Python 代码 用于创建巨大的表 最多 19 列宽 5000 行 花了九秒用于在屏幕上绘制表格 我注意到每一行都是使用以下代码添加的 sTable sTable n GetRow where sTable是一个字符串 我将

随机推荐

热门标签