为了在用户选择“立即购买”时节省交易成本,系统会在新选项卡中打开 HTML 发票,其中包含他们的订单和我们的银行详细信息,供他们进行手动电子转帐。有什么我应该注意的安全问题吗?黑客可以将自己的银行详细信息注入(inject)其中吗?有什么建议可以使其更安全吗?
我尚未构建 .js 脚本来将信息注入(inject)发票,但这是发票代码:
<header>
<h1>Invoice</h1>
<address>
<p>Jonathan Neal</p>
<p>101 E. Chapman Ave<br>Orange, CA 92866</p>
<p>(800) 555-1234</p>
</address>
<span><img alt="" src="img/invoice-logo.png"><input type="file" accept="image/*"></span>
</header>
<article>
<h1>Recipient</h1>
<address>
<p>Some Company<br>c/o Some Guy</p>
</address>
<table class="meta">
<tr>
<th><span>Invoice #</span></th>
<td><span>101138</span></td>
</tr>
<tr>
<th><span>Date</span></th>
<td><span>January 1, 2012</span></td>
</tr>
<tr>
<th><span>Amount Due</span></th>
<td><span id="prefix">$</span><span>600.00</span></td>
</tr>
</table>
<table class="inventory">
<thead>
<tr>
<th><span>Item</span></th>
<th><span>Description</span></th>
<th><span>Rate</span></th>
<th><span>Quantity</span></th>
<th><span>Price</span></th>
</tr>
</thead>
<tbody>
<tr>
<td><span>Front End Consultation</span></td>
<td><span>Experience Review</span></td>
<td><span data-prefix>$</span><span>150.00</span></td>
<td><span>4</span></td>
<td><span data-prefix>$</span><span>600.00</span></td>
</tr>
</tbody>
</table>
<table class="balance">
<tr>
<th><span>Total</span></th>
<td><span data-prefix>$</span><span>600.00</span></td>
</tr>
<tr>
<th><span>Amount Paid</span></th>
<td><span data-prefix>$</span><span>0.00</span></td>
</tr>
<tr>
<th><span>Balance Due</span></th>
<td><span data-prefix>$</span><span>600.00</span></td>
</tr>
</table>
</article>
<aside>
<h1><span>Additional Notes</span></h1>
<div>
<p>A finance charge of 1.5% will be made on unpaid balances after 30 days.</p>
</div>
最佳答案
假设您使用正确的 TLS,我就不会太担心 MITM。如果您不这样做 - 现在就开始使用它。
另外 - 我假设您在服务器端生成发票。或者至少从服务器获取发票数据。但客户端总体来说并不安全。
确保发票仅在用户登录时可用。或者 - 如果您允许在不登录的情况下购物 - 让发票 URL 难以猜测。在这样的系统中,客户数据泄露的可能性很大。
关于javascript - 如果我的购物车打开 HTML 发票,我是否应该考虑安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51492064/