某金融业务对接某动商城，居然要使用 iframe,子页面 js 直接获取父页面登录信息，现在遇到跨域问题改为使用 window.location.has 获取

2014-11-15 04:00:59 +08:00

chigco

某动和某银行合作金融业务，项目开发完毕，需要对接某动的某商城登录信息。
这几天某商城给出了对接方面，商城业务模块的页面直接使用iframe嵌入项目的首页（！！！我预留好了一块OAuth呢！！！！）
文档居然说使用项目直接使用javascript:xxx.xxxx();来获取商城的登录信息;!!!!!
这这对接方式还有安全可言吗!这是金融业务啊!!!!是我太大惊小怪了吗？

2509 次点击

所在节点

问与答

4 条回复

safilar

2014-11-15 09:25:14 +08:00

那你说说具体哪里不安全，你没有提出论点啊...就是说不安全？

safilar

2014-11-15 09:27:27 +08:00

还有跨域 window.location.has ？这是什么意思！！没看懂

linyxy

2014-11-15 16:54:42 +08:00

@safilar 应该是window.location.hash（）

chigco

2014-11-15 21:46:03 +08:00

@linyxy 对。后面不小心删了。
@safilar 这前台javascript代码啊。任何人都可以修改获取的值。比如我随便改成用户a来购买，或者修改资料啥的。或直接查看这用户余额/所购买产品/资料等。都没有安全可言啊。因为项目对接的就是这hash（）。没法判断是否人为改动。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/146655

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.