En examinant les options permettant d'intégrer la page 3D Secure dans mon propre formulaire de commande, je suis tombé sur les éléments suivants:
"Certains sites de commerce consacreront toute la page du navigateur à l'authentification plutôt que d'utiliser un cadre (pas nécessairement un iFrame, qui est de toute façon un objet moins sécurisé)."
de http://en.wikipedia.org/wiki/3-D_Secure
Quelqu'un peut-il m'indiquer en détail pourquoi les iframes sont moins sécurisés et posent problème, par opposition aux cadres normaux? Et quelles sont les différences fondamentales?
La façon dont je vois les choses, iframe
, est la voie à suivre.
La différence est qu'un iframe peut "flotter" dans le contenu d'une page, c'est-à-dire que vous pouvez créer une page html et y placer un iframe. Cela vous permet d’avoir une page et d’y placer un autre document directement. Une frameset
vous permet de diviser l'écran en différentes pages (horizontalement et verticalement) et d'afficher différents documents dans chaque partie.
IFrame est juste un "cadre interne". La raison pour laquelle il peut être considéré comme moins sécurisé (que de ne pas utiliser de type de cadre du tout) est que vous pouvez inclure un contenu qui ne provient pas de votre domaine.
Tout cela signifie que vous devez faire confiance à tout ce que vous incluez dans un cadre iFrame ou ordinaire.
Les cadres et les IFrames sont également sécurisés (et non sécurisés si vous incluez du contenu provenant d'une source non fiable).
iframe
s sont beaucoup utilisés pour inclure des pages complètes. Lorsque ces pages sont hébergées sur un autre domaine, vous rencontrez des problèmes de scripting, etc. Il existe des moyens de résoudre ce problème.
Les cadres ont été utilisés pour diviser votre page en plusieurs parties (par exemple, un menu de navigation à gauche). Leur utilisation n'est plus recommandée.
Les seules raisons pour lesquelles je peux penser sont en fait dans le article de wiki que vous avez cité pour mentionner un couple ...
"Le système" Vérifié par Visa "a suscité certaines critiques, car il est difficile pour les utilisateurs de faire la différence entre la fenêtre légitime Vérifié par Visa et un site de phishing frauduleux."
"à partir de 2008, la plupart des navigateurs Web ne fournissent pas un moyen simple de vérifier le certificat de sécurité pour le contenu d'un iframe"
Si vous lisez la section Criticism de l'article, elle détaille toutes les failles de sécurité potentielles.
Sinon, la seule différence est que IFrame est un cadre en ligne et que Frame fait partie de Frameset. Ce qui signifie plus de problèmes de mise en page qu'autre chose!
Le cadre en ligne n’est qu’une "boîte" et vous pouvez le placer n’importe où sur votre site . Les cadres sont un ensemble de "boîtes" assemblées pour créer un site comportant plusieurs pages.
Bien que la sécurité soit la même, il peut être plus facile pour les applications frauduleuses de duper les utilisateurs utilisant un iframe, car ils disposent d’une plus grande flexibilité quant à l’emplacement du cadre.