組み込み画面 - セキュリティ

Question

私たちは、Webアプリケーションを持っている：C＃の+ SQLの2K5

異なる企業が私たちに情報を送って、我々は、それらを解析し、さまざまなことを行うと、お客様のそれぞれのための単純なリストを思い付きます。リストは同じように見えますが、顧客に基づいて異なる情報を持ちます。

彼らは互いのデータにアクセスすべきではありません。

自分のサイトに埋め込まれるページを作成したいと考えています。私はiFrameのようなものを使うことを考えていました。

基本的に顧客ABCは、URLを持つiframeを自分のabc.comに埋め込みます（必要なパラメータを指定します）。顧客は自分のサイトにデータを表示します。

他のお客様は、xyzと呼び、他のウェブサイトxyz.comを持っていますが、同じことをしますが、私はそれらの間で違いを生むべきです。

どのように進行するのが最も安全で安全な方法であるか知りたいと思います。 埋め込み予定のこのページをどのように構築する必要がありますか。

2人の顧客の違いを教えてください。彼らから情報を得る唯一の方法は、彼らが私に送るパラメータです、そして、最終的に、私は埋め込まれたiFrameの '親'を得ることができたので、URLパラメータ情報を使ってabcからデータを取得するためにxyzを埋め込むことができます。私のジレンマを見ますか？ GUIDのような各顧客のユニークな識別子が必要になるでしょうし、お互いのIDを知っているわけではありません...そういうことをするより安全な方法がありますか？

ご協力いただければ幸いです。

おかげ

Answer 1

公開されている一意のIDをURLに埋め込み、これを処理してクライアントIDを抽出します。例えば

<IFRAME src="http://example.com/1122334455667788aabbcc"> 

あなたは要求see this answer

はこれを行うための唯一の安全な方法は、サイトがサービスAPIを介して処理するために、サーバー側を使用して認証済みのAPI（例えばを提供することであるしかしことを保証するためにRequest.UrlReferrerをチェックできますWCF）、または最低でも認証されたHttpWebRequest。他の方法では、データは公開されている一意のIDと同じくらい安全です。

Answer 2

は、クレジットカード処理ポータルの一つが、この（例えばWorldPayのかペイパル）を行う方法を見てみましょう。いくつかの方法があります。

少なくとも、各顧客に送信する一意のIDを提供する必要があります。