Attól, hogy js-layer, még az adott webshop rakja össze az oldalt, onnan jön a tartalom, ott hivatkozzák be a layer-t kipakoló js-t. Az ügyfél azt látja, hogy a webshop oldalán van, ott kérik tőle a kártyaadatokat, nem pedig egy beazonosított banki/fizetési szolgáltatói oldalon. Az, hogy egyik certtel működő oldalba másik https-es aktív tartalmat be lehet ágyazni úgy, hogy nem rinyál, hogy nem minden onnan jön, amia címsorban van, az lehet, hogy qrvakényelmes(nek tűnik), de rohadtul vissza lehet vele élni.