Я пытаюсь «объединить» все записи о платежах для всех наших различных веб-приложений в рамках одного «размещенного» веб-приложения для ввода платежей. Чтобы быть максимально гибкими с нашими различными веб-приложениями и не подвергать риску безопасность, я подумал, что создам стандартный виджет web2.0, который будет отображать экран ввода / обработки платежей из веб-приложения в том же домене 2-го уровня , но другой домен 3-го уровня.
IE: эти "отдельные" веб-приложения:
будет все iframe в точке «извлечения» в метафоре «лайтбокс» с https://payments.company.com/payment-entry.php
[https://payments.company.com] будет находиться на совершенно другом сервере и подвергаться PCI-совместимости, поскольку это единственное веб-приложение, доступное для данных CC. Цель состоит в том, чтобы устранить как можно больше внутренних и внешних приложений, видящих данные CC.
Если у меня есть подстановочный сертификат, кто-нибудь видит какие-либо проблемы с безопасностью или межсайтовым скриптингом при использовании этого же решения iframe для домена третьего уровня?