父域可以捕获来自外部 iframe 的输入吗?
Can a parent domain capture input from a foreign iframe?
我的团队帮助管理多家电子商务商店。我们一直使用 Recurly 进行计费。
我注意到他们实施了一种奇怪的安全方法:每个表单输入都包含在 Recurly 域的 iframe 中。在每个 iframe 中,都有一个唯一的标记。当用户提交最终订单时,所有信息都会在后端重新组合在一起。
当然,我一直在想办法打破这一点,以更好地保护我们的客户。起初,我认为规避是微不足道的,但我被难住了。
在我们客户的服务器上执行代码的人是否可以通过 iframe 捕获支付数据?
好吧,如果您有权访问服务器,您可以设置代理服务器并进行中间人攻击以获取数据。 G
我的团队帮助管理多家电子商务商店。我们一直使用 Recurly 进行计费。
我注意到他们实施了一种奇怪的安全方法:每个表单输入都包含在 Recurly 域的 iframe 中。在每个 iframe 中,都有一个唯一的标记。当用户提交最终订单时,所有信息都会在后端重新组合在一起。
当然,我一直在想办法打破这一点,以更好地保护我们的客户。起初,我认为规避是微不足道的,但我被难住了。
在我们客户的服务器上执行代码的人是否可以通过 iframe 捕获支付数据?
好吧,如果您有权访问服务器,您可以设置代理服务器并进行中间人攻击以获取数据。 G