是否可以使用 iframe 内的 javascript 从外部源访问表单数据?
例如:我在 example.com 上有一个网上商店。如果我使用带有 iframe 集成的支付网关 stripe.comhttps://stripe.com/checkout是否可以访问用户在 iframe 弹出窗口中以 1 秒的间隔插入的输入数据?
我想确保万一有人侵入我的网站,就无法访问客户的付款详细信息。
是否可以使用 iframe 内的 javascript 从外部源访问表单数据?
不可以。同源策略可以防止这种情况发生。
如果我使用带有 iframe 集成的支付网关 stripe.comhttps://stripe.com/checkout是否可以访问用户插入的输入数据
不是以简单的 JS 方式,但已经出现了许多针对 iframe 中内容的点击劫持攻击。参见示例http://www.contextis.com/documents/5/Context-Clickjacking_white_paper.pdf
然而,在这种情况下,这一点没有实际意义,因为:
我想确保万一有人侵入我的网站,就无法访问客户的付款详细信息。
这是不可能实现的。如果您的网站遭到破坏(无论是在服务器上还是通过 XSS 在客户端上),攻击者可以更改父页面,使其弹出一个虚假的结帐 iframe,而不是使用真正的 Stripe 脚本,该脚本会泄露输入的付款详细信息。
这是所有基于 iframe 的结账的风险:用户无法验证 iframe 的来源和 HTTPS 详细信息,因此他们必须信任父页面(商家)的来源和 HTTPS 详细信息。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)