我的团队帮助管理了几家电子商务商店。我们一直将Recurly用于计费。
我注意到他们实现了一种奇怪的安全方法:每个表单输入都包含在Recurly域的iframe中。在每个iframe中,都有一个唯一的令牌。当用户提交最终订单时,所有信息都将在后端重新组合在一起。]
[自然,我一直在尝试解决该问题的方法,以更好地保护我们的客户。起初,我认为规避是微不足道的,但是我很沮丧。
我们的客户服务器上执行代码执行的任何人都可以通过iframe捕获付款数据吗?
我的团队帮助管理了几家电子商务商店。我们一直将Recurly用于计费。我注意到它们实现了一种奇怪的安全性方法:每个表单输入都包含在Recurly的iframe中...
如果您有权访问服务器,则可以设置代理服务器并在中间攻击中进行操作以获取数据。 G