¿Es seguro si compramos a través de un sitio web que está cargado en iframe?

Navega tus respuestas
0

Encontré que uno de los sitios web está cargando todos los sitios web de compras en su propio dominio.

  

Por ejemplo. www.dominio.com que tiene enlaces como,

     

www.shoppingsite1.com, www.shoppingsite2.com, www.shoppingsite3.com   ....

     

si hacemos clic en shoppingsite1.com lleva a   www.dominio.com/iframe/shoppingsite1

     

y carga el shoppingsite1.com dentro de este dominio.

si alguien compra el producto en shoppingsite1.com. ¿Es posible que domain.com capture todos los datos del usuario, incluidas las credenciales de pago?

    
pregunta Ragavendran Ramesh 07.10.2013 - 14:04
fuente

2 respuestas

1

No, siempre que CORS Access-Control-Allow-Origin tenga su valor restrictivo predeterminado. Esto evita que el sitio web externo acceda al sitio enmarcado a través de Javascript / etc.

CSRF aún son posibles los ataques, aunque la mayoría de los sitios se protegen de esto.

Tenga en cuenta que debe asegurarse de que el iframe se encuentre en el dominio correcto (haga clic con el botón derecho del ratón en > ver la información del marco en Chrome) y que no esté siendo objeto de suplantación de identidad.

    
respondido por el Manishearth 07.10.2013 - 14:24
fuente
1

Hay problemas planteados por Manishearth, pero también la posibilidad de que, al cargar el sitio en un iframe, podrían superponer sus propios campos de texto sobre los campos de entrada de la tarjeta de crédito, por ejemplo.

Es como una pequeña variación de un ataque de clickjacking y, si bien el sitio host no está robando datos del sitio que están encuadrando, en su lugar, simplemente lo están engañando para que lo inserte en el sitio.

    
respondido por el Scott Helme 07.10.2013 - 14:38
fuente

Lea otras preguntas en las etiquetas

Restrinja el acceso a un tipo específico de entidad ¿Es seguro enviar imágenes con información personal por correo electrónico? ¿O usar encriptación para imágenes?