#html #security #iframe #paypal #payment
#HTML #Безопасность #iframe #paypal #оплата
Вопрос:
У меня такой вопрос: безопасно ли использовать iframe для загрузки страницы, на которой клиент произведет платеж. Например, paypal или DineroMail или страница, на которой производится оплата кредитной картой. Потому что мой босс хочет, чтобы клиент чувствовал, что никогда не покидает сайт, поэтому на моем сайте я добавил iframe (и внутри него я загружаю URL-адрес платежа), но не знаю, правильно ли это и безопасно или нет.
Спасибо.
Комментарии:
1. Следуйте утвержденным рекомендациям по интеграции paypal.. developer.paypal.com/docs/classic/products
Ответ №1:
С технической точки зрения безопасности (политика того же источника) открывать an так же безопасно iframe
, как и открывать новую вкладку.
С точки зрения пользовательского интерфейса, открытие iframe
в определенных местах может ввести пользователя в заблуждение, и вас могут обвинить в попытке заставить пользователя совершить непреднамеренный платеж, если вы не будете осторожны.
Я ничего не могу сказать о собственной политике PayPal, но вы должны убедиться, что они согласны с этим.
Ответ №2:
Я проходил через это несколько раз со многими клиентами. Во многом это связано с тем, что 1) ему неудобно, когда клиент покидает свой сайт, опасаясь, что проверка не произойдет, или 2) он гордится тем, что хочет, чтобы клиенты чувствовали, что все услуги могут быть выполнены на сайте.
Одна из вещей, которую должен понимать ваш босс, заключается в том, что людям нравится использовать paypal, потому что им доверяют и это знакомый процесс для них. Он должен знать, что люди не только согласны с перенаправлением на paypal, но и ожидают этого. Если я где-нибудь наткнусь на сайт, где меня проверили в iFrame на paypal, это будет для меня красным флагом. Почему? Потому что с перенаправлением я вижу адресную строку. Я знаю, что я на сайте paypals, и я могу видеть, безопасное ли это соединение.
Если он настроен на то, чтобы клиент никогда не покидал сайт. Ему нужно сделать что-то вроде paypal payments pro. Вероятно, это решение, которое он действительно хочет.
Редактировать
Я нашел ваш ответ, когда сам занимался той же проблемой в прошлые выходные, и хотел вернуться с чем-то лучшим!
Он называется flex и отличается от API adaptive payments classic. Что потребует дополнительного процесса подачи заявки, который может оплатить ваш босс, того стоит.
https://developer.paypal.com/docs/classic/adaptive-payments/integration-guide/APIntro/
Пройдите примерно 3/4 пути вниз, и вы увидите пошаговые инструкции, чтобы сделать именно то, что вы ищете. Безопасный iframe paypal.
Быстрый совет: если вам нужно включить его в свои собственные процессы, просто выполните следующие действия.
1) получите свой платежный ключ после отправки запроса в paypal. 2) вызовите исходный код javascript, как в руководстве. 3) перенаправьте окно вручную, в отличие от созданной ими кнопки paypal. он же https://www.paypal.com/webapps/adaptivepayment/flow/pay?paykey=YOURPAYKEY
еще один хороший источник: https://www.paypalobjects.com/webstatic/en_US/developer/docs/pdf/pp_adaptivepaymentsmobile.pdf
Комментарии:
1. И трудно заставить их понять, но хорошо, спасибо за ваш ответ 🙂
2. вам понравится то, что я нашел выше 🙂
3. Вау, спасибо. Я собираюсь тщательно проверить это, как только у меня будет больше времени
Ответ №3:
Это безопасно, если Paypal разрешает это, но вы должны быть осторожны с точки зрения пользовательского интерфейса.
Если ваш сайт загружен http
и вы загружаете IFrame на свой сайт, пользователю кажется, что он небезопасен, даже если IFrame загружен https
. Этот подход также уязвим для атаки MiTM, поскольку злоумышленник может перехватить и изменить URL-адрес IFrame на что-то вроде http://www.evil.com
, и никто не узнает об этом во время ввода данных карты.
Если ваш сайт загружен поверх https
, ваш клиент должен доверить вам данные своей карты, поскольку они не могут быть уверены, что IFrame действительно указывает на домен Paypal в https
( https://www.paypal.com
), а не на ваш сайт. Да, они могут щелкнуть правой кнопкой мыши и проверить источник, но это слишком далеко для большинства пользователей, и технически злой сайт может поменять IFrame на злую версию без уведомления клиента.
Я рекомендую на самом деле перенаправлять на https://www.paypal.com
, потому что тогда он отображается в адресной строке с замком и заверяет пользователей, что они передают свои данные Paypal и никому другому.
Комментарии:
1. Спасибо за ваш ответ, но, например, если я перенаправляю на paypal или в банк, сложнее заменить URL-адрес, чем если я перенаправляю на iframe на сайте?
2. @Natalie. Нет, вы просто перенаправляете обратно после завершения оплаты.