Aunque la política del mismo origen puede impedir que un atacante acceda al contenido legítimo de iFrame, el problema es que el usuario no tiene forma de verificar que realmente esté interactuando con el iFrame legítimo (a excepción de ir a la fuente que más los usuarios no van a hacer). Un atacante podría reemplazar la fuente iFrame con una página de phishing y obtener los datos de la tarjeta de crédito de los usuarios de esa manera.
Tanto las puertas de enlace basadas en iFrame como las basadas en JS son vulnerables a aproximadamente los mismos problemas, por lo que yo diría que ambas son inseguras en comparación con las puertas de enlace alojadas. Los beneficios de las puertas de enlace alojadas son que:
- El usuario puede verificar la URL para asegurarse de con quién está interactuando
- El usuario puede validar el certificado SSL / TLS y el cifrado para estar aún más seguros de con quién están interactuando
- Lo más probable es que una pasarela de pago operada por un banco sea mejor probada para detectar vulnerabilidades que algún sitio arbitrario.
- Los usuarios pueden confiar razonablemente en la integridad de sus detalles de pago si la puerta de enlace externa muestra los totales, etc. Comparado con el sitio donde el sitio puede decir que le cobrarán una cosa, luego le cobrarán otra.
Por otra parte, la transferencia de usuarios a una pasarela de pago externa se considera una mala experiencia para el usuario y la conexión con un procesador de pagos en el lado del servidor es complicada, por lo que se hacen concesiones y estas pasarelas basadas en JS se están volviendo populares. p>