首页
注册
登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请
登录
V2EX 提问指南
广告
V2EX
›
问与答
某金融业务对接某动商城,居然要使用 iframe,子页面 js 直接获取父页面登录信息,现在遇到跨域问题改为使用 window.location.has 获取
chigco
·
2014-11-15 04:00:59 +08:00
· 2566 次点击
这是一个创建于 3622 天前的主题,其中的信息可能已经有所发展或是发生改变。
某动和某银行合作金融业务,项目开发完毕,需要对接某动的某商城登录信息。
这几天某商城给出了对接方面,商城业务模块的页面直接使用iframe嵌入项目的首页(!!!我预留好了一块OAuth呢!!!!)
文档居然说使用项目直接使用javascript:xxx.xxxx();来获取商城的登录信息;!!!!!
这这对接方式还有安全可言吗!这是金融业务啊!!!!是我太大惊小怪了吗?
对接
商城
页面
4 条回复
•
2014-11-15 21:46:03 +08:00
1
safilar
2014-11-15 09:25:14 +08:00
那你说说具体哪里不安全,你没有提出论点啊...就是说不安全?
2
safilar
2014-11-15 09:27:27 +08:00
还有跨域 window.location.has ?这是什么意思!!没看懂
3
linyxy
2014-11-15 16:54:42 +08:00 via iPhone
@
safilar
应该是window.location.hash()
4
chigco
OP
2014-11-15 21:46:03 +08:00 via Android
@
linyxy
对。后面不小心删了。
@
safilar
这前台javascript代码啊。任何人都可以修改获取的值。比如我随便改成用户a来购买,或者修改资料啥的。或直接查看这用户余额/所购买产品/资料等。都没有安全可言啊。因为项目对接的就是这hash()。没法判断是否人为改动。
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
3088 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms ·
UTC 12:19
·
PVG 20:19
·
LAX 05:19
·
JFK 08:19
Developed with
CodeLauncher
♥ Do have faith in what you're doing.