Моя команда помогает управлять несколькими интернет-магазинами. Мы всегда использовали Recurly для выставления счетов.
Я заметил, что они реализуют странный метод безопасности: каждый ввод формы заключен в iframe в домене Recurly. В каждом iframe есть уникальный токен. Когда пользователь отправляет окончательную форму заказа, вся информация снова объединяется в бэкэнд.
Естественно, я пытался придумать, как это сломать, чтобы лучше защитить наших клиентов. Сначала я думал, что обойтись будет тривиально, но я в тупике.
Есть ли способ, с помощью которого кто-то, выполняющий код на серверах наших клиентов, может получить данные о платежах через фреймы?