那些遇到过的问题

安全性问题在Cordova上使用Stripe checkout

Tyn*_*ock 14 security cordova stripe-payments

我正在研究使用Stripe.js在Cordova中包含的移动Web应用程序中进行支付处理.根据Stripe文档,所有结帐页面都应通过https提供.由于Cordova在技术上将在webview中本地提供这些页面,我是否应该担心任何安全问题?

注意:我仍然会使用https将Stripe中的标记化卡详细信息提交到我的远程API服务器以实际完成收费.

小智 32

我是Stripe的工程师.

Cordova/PhoneGap不是我们积极支持Stripe.js的平台,但在与团队讨论之后,我们就如何减轻潜在漏洞提出了两点建议:

  1. 明智地配置域白名单,以限制其他脚本恶意将付款数据发送给不受信任的第三方的可能性.您只需要添加https://api.stripe.com以支持与Stripe通信.
  2. 始终根据Stripe.js文档从我们的服务器加载最新版本的Stripe.js .这将确保您始终了解我们添加到Stripe.js的任何错误修正和补丁

除此之外,我相信您的曝光类似于在浏览器中加载的普通网页中使用Stripe.js.

(我应该注意,我假设您使用的是Stripe.js而不是Stripe Checkout - 后者需要将https://checkout.stripe.com域添加到域白名单中.)

归档时间:

查看次数:

3908 次

最近记录:

9 年,2 月 前
在Cordova/Phonegap应用程序中实现Stripe Payment Gateway 12
更多相关链接
相关归档
使用离子应用程序内的系统浏览器打开所有链接 15
如何使用解耦的 API 在单页应用程序 (SPA) 中安全地实现身份验证 11
如何在 AndroidManifest.xml 中隐藏 API 密钥 9
.textContent完全安全吗? 8
如何设置本地环境以使用 Chrome 的最新 SameSite cookie 更改? 8
使用Cordova/Angular JS从用户位置获取地址 5
在 API 端使用 Ionic 和 Laravel 进行实时聊天 5
从相机拍摄照片会在20%的时间内失败 4
在Cordova Ionic Framework中检测互联网是否正常工作 4
自定义域证书错误•服务器证书(heroku)与URL www.app.com不匹配 2
难疑归档
如何查看远程Git分支? 6408
如何在Python中安全地创建嵌套目录? 3909
浮点数学是否破碎? 2798
为什么"使用命名空间std"被认为是不好的做法? 2486
数据库索引如何工作? 2335
如何在Windows上找出正在侦听端口的进程? 2040
夏令时和时区最佳实践 2021
单身人士有什么不好的? 1931
传输安全性阻止了明文HTTP 1425
如何使用Sublime Text 2重新格式化HTML代码? 1282