保护不同域中不安全页面上的 iframe

Question

我们公司正在考虑允许第三方网站使用我们的在线结账系统。

一位客户表示，他们希望能够使用灯箱样式的弹出窗口来显示结账。 他们希望网站的每个页面都可以使用此功能，因此大多数页面都是不安全的。 我们的结帐系统和客户端站点显然位于不同的域。

我猜我可以使用安全的 iframe（使用 https）来显示我们的结账系统。

这个 iframe 真的安全吗？

这是明智的做法吗？ （我的直觉说不，因为用户如何判断页面是安全的）

是否有更好的方法来实现相同的功能？

Answer 1

是的，iframe 是安全的，但您是对的，客户实际上无法知道它是安全的。 另一方面，大多数用户无论如何都无法判断页面是否安全 - 散布在周围的一些挂锁图像足以说服大多数用户。

当他们点击弹出结账时，您能否将他们发送到 HTTPS 下的同一 URL，然后将其弹出（当然，您需要自己的 SSL 证书）？

Answer 2

您是否见过其他类似的结账系统是如何工作的？ 例如 ebay 上的 paypal 结账？ 他们会带您“全屏”完成结帐流程，并在交易完成后返回原始站点。

Answer 3

我知道这是一个老问题，但我打算做同样的事情。 解决方法是要么执行 paypal 操作 -> 前往安全网站进行付款 -> 返回到返回网址。 或者，您可以使用一个非常通用的简短名称（例如 shop.com）（显然已被占用）来建立自己的网站，但该名称未被占用。

然后，您的客户可以拥有自己的空间，例如 https/www.theirsitename.shop.com，
所以他们会从 http/www.theirsitename.com 转移到上面。

大多数用户甚至无法知道他们已经转移到新网站，并且该页面将是安全的。
要获得他们的产品，您可以让他们从自己的一端发布它，也许还可以让他们发布一个 CSS 文件，这将完全改变布局，使其看起来像他们自己的网站。