variable pasar html security iframe stripe-payments

html - pasar - Accediendo a los datos del formulario dentro de iframe



iframe document (1)

¿Es posible acceder a los datos del formulario con javascript dentro de iframe de una fuente externa?

Por ejemplo: tengo una tienda web en example.com. Si utilizo la pasarela de pago stripe.com con la integración iframe, ¿es posible acceder a las inserciones de usuario de datos de entrada en la ventana emergente iframe en el intervalo 1s?

Me gustaría asegurarme de que en caso de que alguien piratee mi sitio web, no se puede acceder a los detalles de pago de los clientes.


¿Es posible acceder a los datos del formulario con javascript dentro de iframe de una fuente externa?

No. Esto es impedido por la misma política de origen.

Si utilizo la puerta de enlace de pago stripe.com con integración de iframe, https://stripe.com/checkout es posible acceder a las entradas de datos de los usuarios.

No de una manera directa JS, pero ha habido una serie de ataques clickjacking contra contenido en iframes. Ver por ejemplo http://www.contextis.com/documents/5/Context-Clickjacking_white_paper.pdf

Sin embargo, en este caso, el punto es discutible, ya que:

Me gustaría asegurarme de que en caso de que alguien piratee mi sitio web, no se puede acceder a los detalles de pago de los clientes.

Esto no es alcanzable. Si su sitio está en peligro (ya sea en el servidor o en el cliente a través de XSS), el atacante puede cambiar la página principal para hacer que aparezca un iframe de pago falso en lugar de utilizar el script Stripe real, que filtra los detalles de pago ingresados.

Este es un riesgo con todos los registros basados ​​en marcos flotantes: el usuario no puede verificar el origen ni los detalles HTTPS de un iframe, por lo que debe confiar en los de la página principal (comerciante).