Javascript 父域能否从外部iframe捕获输入?
我的团队帮助管理几家电子商务商店。我们总是重复使用账单 我注意到它们实现了一种奇怪的安全方法:每个表单输入都包含在Recurly域上的iframe中。在每个iframe中,都有一个唯一的标记。当用户提交最终订单时,所有信息将在后端重新分组 当然,我一直在想办法打破这种局面,更好地保护我们的客户。起初,我以为绕开它是微不足道的,但我被难住了Javascript 父域能否从外部iframe捕获输入?,javascript,security,iframe,xss,csrf,Javascript,Security,Iframe,Xss,Csrf,我的团队帮助管理几家电子商务商店。我们总是重复使用账单 我注意到它们实现了一种奇怪的安全方法:每个表单输入都包含在Recurly域上的iframe中。在每个iframe中,都有一个唯一的标记。当用户提交最终订单时,所有信息将在后端重新分组 当然,我一直在想办法打破这种局面,更好地保护我们的客户。起初,我以为绕开它是微不足道的,但我被难住了 < P >是否有人在我们的客户服务器上执行代码,可以通过IFRAMS? < P>捕获支付数据,如果您有访问服务器的权限,您可以设置代理服务器并进行中间人攻击以
< P >是否有人在我们的客户服务器上执行代码,可以通过IFRAMS? < P>捕获支付数据,如果您有访问服务器的权限,您可以设置代理服务器并进行中间人攻击以获取数据。G