6

多くの中小企業の e コマース Web サイトで見られる一般的な機能は、[チェックアウト] ボタンをクリックすると、Web サイトから離れて、paypal、authorize.net などのサードパーティの支払いゲートウェイの URL にリダイレクトされることです. . このサード パーティのサイトで支払いを行った後、小規模ビジネスの e コマース Web サイトにリダイレクトされます。

私のいくつかのクライアントのために、このプロセスを簡素化したいと思います。他の人が iframe を介して Web サイトに埋め込むことができる支払いフォームを作成する予定です。支払いフォームは SSL の背後にあります。支払いフォームが情報を受け取ると、それをペイパルなどのマーチャント ゲートウェイに渡し、成功/失敗の応答で iframe をリロードします。

この iframe アプローチに大きな問題はありますか? ペイパルのような支払いゲートウェイが支払いページに iframe 埋め込みコードを提供していたのを覚えていないので質問します。ウェブサイトの所有者にページに埋め込むためのチェックアウト URL を提供できる場合は、iframe 埋め込みコードを簡単に提供できるはずです。

4

2 に答える 2

5

HTTPS 接続のセキュリティの基本的な側面は、リモート パーティの ID の検証です。誰かと秘密裏にデータを交換することは 1 つのことですが、相手を知る必要があります。

技術的な観点からは、サーバーの ID は証明書を使用して検証されます。

  • 信頼できる必要があります。つまり、クライアントは、信頼できる機関 (RFC 3280/5280) によって発行されたことを確認できます。
  • クライアントが話したいエンティティに対して発行する必要があります。つまり、ホスト名を検証する必要があります (RFC 2818、セクション 3.1)。

ただし、技術的な側面はソリューションの一部にすぎません。ユーザーは、ブラウザが接続しようとしているサイトを確認できる必要があります。これはユーザー インターフェースの問題であり、ブラウザーが何をしようとしているのかを確認できるのはユーザーだけです。これは、UI が表示されているためです (ほとんどのユーザーが開発者ツールを使用することを期待するのは非現実的です)。

iframe を使用すると、ユーザーがその iframe で実際に接続しているサイトの名前が非表示になります (メイン ページのアドレスのみがアドレス バーに表示されます)。これにより、ユーザーはこの検証を行うことができなくなります。

さらに、HTTPS iframe が HTTP ページ内にあると、さらに悪いことになります。この場合、ユーザーは HTTPS が使用されていることを確認することさえできません。

埋め込まれた iframe、特に3-D Secureの悪い例があります。これは、(a) iframe の使用が推奨されており、(b) iframe が使用されていない場合でも、名前は通常、ユーザーの銀行とは何の関係もないためです。加盟店サイトまたはクレジット カード会社。

于 2012-10-28T15:25:30.370 に答える
1

1 つの潜在的な問題 (ユーザーとして実際に遭遇した) は、ホスティング ページがおそらく SSL を使用しておらず、情報通のインターネット ショッパーであることに関する記事で人々が探すように言われている小さな「指示」があることです。ユーザーの注意により、ギリギリの時点で売り上げを失う可能性があります。

クロスドメイン スクリプティングにも潜在的な問題があります。それは大きなトピックであり、それを可能にしたいと思ってもそれを行うことは非常に困難な場合がありますが、不可能ではないため、悪用される可能性があります.

于 2012-10-28T13:53:12.673 に答える