在我正在处理的系统中,我们允许用户存储多张支付卡,然后在结账时选择一张使用。
卡 token 是卡的自然标识符,因此它似乎是一个很好用的 key (我们的应用程序中不存储任何内容)。
以 HTML 呈现卡 token 是否安全,以便我们可以识别要使用的卡或是否存在安全问题?
请注意,我将客户 ID 传递给网关以确保该卡属于客户:
var request = new Braintree.TransactionRequest
{
Amount = order.Total,
CustomerId = braintreeCustomerId,
PaymentMethodNonce = nonce,
PaymentMethodToken = cardToken,
OrderId = order.OrderId,
Options = new Braintree.TransactionOptionsRequest {
StoreInVault = saveCard,
SubmitForSettlement = false
}
};
最佳答案
如果您将支付 token 提交给 Braintree 而未根据客户 ID 对其进行验证,则在表单中包含支付 token 可能是不安全的。也就是说,如果攻击者将 token 操纵为与您客户的另一个支付方式 token 相对应的 token ,则将向另一个客户收费。如果您在交易请求中包含客户 ID(正如您所做的那样),那么我们将验证 token 是否与客户匹配,因此只要用户不能同时操纵客户 ID 和 token ,此方法就是安全的.
关于html - 在 HTML 中呈现客户卡 token 是否安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28327293/