単一の「ホストされた」支払いエントリ Web アプリケーションの下で、さまざまな Web アプリケーションすべてのすべての支払いエントリを「統合」しようとしています。セキュリティを損なうことなく、さまざまな Web アプリケーションで可能な限り「柔軟」にするために、同じ第 2 レベル ドメイン上の Web アプリケーションから支払い入力/処理画面を iFrame する標準の web2.0 ウィジェットを作成することを考えました。 、しかし異なる第 3 レベル ドメイン。
IE: これらの「別個の」Web アプリケーション:
- https://www.company.com/gifts/store
- https://www.company.com/cars/store
- https://www.company.com/hotels/store
https://payments.company.com/payment-entry.phpの「ライトボックス」メタファー コンテンツの「チェックアウト」の時点で、すべて iframe になります。
[https://payments.company.com] は完全に別のサーバー上にあり、CC データに公開される唯一の Web アプリケーションであるため、PCI コンプライアンスの対象となります。目標は、CC データを参照する内部および外部アプリケーションを可能な限り排除することです。
ワイルドカード証明書を持っている場合、この iframe と同じ第 3 レベル ドメイン ソリューションでセキュリティやクロスサイト スクリプティングの問題が発生することはありますか?