chigco
V2EX  ›  问与答

某金融业务对接某动商城,居然要使用 iframe,子页面 js 直接获取父页面登录信息,现在遇到跨域问题改为使用 window.location.has 获取

  •  
  •   chigco · Nov 15, 2014 · 3313 views
    This topic created in 4246 days ago, the information mentioned may be changed or developed.
    某动和某银行合作金融业务,项目开发完毕,需要对接某动的某商城登录信息。
    这几天某商城给出了对接方面,商城业务模块的页面直接使用iframe嵌入项目的首页(!!!我预留好了一块OAuth呢!!!!)
    文档居然说使用项目直接使用javascript:xxx.xxxx();来获取商城的登录信息;!!!!!
    这这对接方式还有安全可言吗!这是金融业务啊!!!!是我太大惊小怪了吗?
    4 replies    2014-11-15 21:46:03 +08:00
    safilar
        1
    safilar  
       Nov 15, 2014
    那你说说具体哪里不安全,你没有提出论点啊...就是说不安全?
    safilar
        2
    safilar  
       Nov 15, 2014
    还有跨域 window.location.has ?这是什么意思!!没看懂
    linyxy
        3
    linyxy  
       Nov 15, 2014 via iPhone
    @safilar 应该是window.location.hash()
    chigco
        4
    chigco  
    OP
       Nov 15, 2014 via Android
    @linyxy 对。后面不小心删了。
    @safilar 这前台javascript代码啊。任何人都可以修改获取的值。比如我随便改成用户a来购买,或者修改资料啥的。或直接查看这用户余额/所购买产品/资料等。都没有安全可言啊。因为项目对接的就是这hash()。没法判断是否人为改动。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3176 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 12:21 · PVG 20:21 · LAX 05:21 · JFK 08:21
    ♥ Do have faith in what you're doing.