我们公司正在寻求允许第三方网站使用我们的在线结账系统。在不安全页面上的安全iframe在不同的域
一位客户表示他们希望能够使用lightbox样式的弹出窗口来显示结帐。而且他们希望在网站的每个页面都可以使用它,因此大多数页面都是不安全的。我们的结帐系统和客户网站显然位于不同的域。
我猜我可以使用安全的iframe(使用https)来显示我们的结帐系统。
此iframe实际上是否安全?
是明智的事情吗? (我的内心说不,因为用户如何告诉页面是安全的)
有没有更好的方法来实现这个相同的功能?
你见过其他类似的结账系统是如何工作的吗?例如eBay上的PayPal结帐?当交易完成后,他们会通过“全屏”结账流程并返回原始网站。
是的,iframe将是安全的,但你是正确的,顾客实际上不会知道它是安全的。另一方面,大多数用户无法判断一个页面是否安全 - 分散在附近的一些挂锁图片将说服他们中的大多数。
当你点击弹出结帐时,你可以将它们发送到HTTPS下的同一网址,然后弹出(你当然需要你自己的SSL证书)吗?
我知道这是一个老问题,但我打算做同样的事情。解决方法是要么做PayPal的事情 - >去一个安全的网站付款 - >返回到返回网址。或者你可以建立一个非常通用的简称,比如shop.com(很明显是采用),但是没有采用。
然后,您的客户可以拥有自己的空间,如https/www.theirsitename.shop.com,
,以便他们从http/www.theirsitename.com移动到上述位置。
大多数用户甚至无法知道他们已经转移到新的网站,并且该网页将是安全的。 为了获得他们的产品,你可以让他们从他们的最后张贴,也许还让他们发布一个CSS文件,这将完全改变布局,使它看起来像他们自己的网站。
Hi Karl, 你是怎么处理这件事的?我正在做类似的事情,并且有一些问题。你能分享你的发现吗? – rAm 2009-05-13 16:51:10
Hi rAm。最后,我们从来没有继续这个项目。但是我会推动将页面切换到安全服务器,以便用户可以告诉页面是否安全。这是openID采用的方法。 – Karl 2009-05-18 13:13:56