Jam*_*Yoo 3 stripe-payments stripe-connect
我只是想知道是否可以使 Stripe 帐户 ID(用于 Connect)和客户 ID 在浏览器上可见。除了持有者以外,是否有其他人可以通过获取 ID 来进行滥用?(例如,将赚来的钱转移到他们的帐户或更改此人的信息作为攻击方法)
我认为向客户端公开 stripe accountIds 是完全可以的。正如其他人所说,除非攻击者获得您的密钥,否则这些 ID 对攻击者来说是无用的。
其他答案认为暴露的 ID + 泄露的秘密使攻击者更容易攻击。确实如此,但如果攻击者掌握了你的秘密,那么你就完蛋了。需要 1 个 GET 请求才能列出所有 accountId。
| 归档时间: |
|
| 查看次数: |
2180 次 |
| 最近记录: |