我正在研究使用Stripe.js在Cordova中包含的移动Web应用程序中进行支付处理 . 根据Stripe文档,所有结帐页面都应通过https提供 . 由于Cordova在技术上将在webview中本地提供这些页面,我是否应该担心任何安全问题?
注意:我仍然会使用https将Stripe中的标记化卡详细信息提交到我的远程API服务器以实际完成收费 .
我是Stripe的工程师 .
Cordova / PhoneGap不是我们积极支持Stripe.js的平台,但在与团队讨论之后,我们就如何减轻潜在漏洞提出了两点建议:
明智地配置您的Domain Whitelist,以限制其他脚本恶意将付款数据发送给不受信任的第三方的可能性 . 您只需添加 https://api.stripe.com 以支持与Stripe通信 .
https://api.stripe.com
始终按照Stripe.js documentation从我们的服务器加载最新版本的Stripe.js.这将确保您始终了解我们添加到Stripe.js的任何错误修正和补丁
除此之外,我相信您的曝光类似于在浏览器中加载的普通网页中使用Stripe.js .
(我应该注意,我假设您使用的是Stripe.js而不是Stripe Checkout - 后者需要将 https://checkout.stripe.com 域添加到域白名单中 . )
https://checkout.stripe.com
我在类似的问题中发布了与此相关的答案 . 如果您控制自定义API,请为其提供https保护,并将整个结帐表单向下发送到iframe(设置为API endpoints 的源) .
然后使用像Cordova-HTTP这样的插件进行SSL固定,你应该更安全!
原始答案:Implement Stripe Payment Gateway in Cordova/Phonegap Application
2 回答
我是Stripe的工程师 .
Cordova / PhoneGap不是我们积极支持Stripe.js的平台,但在与团队讨论之后,我们就如何减轻潜在漏洞提出了两点建议:
明智地配置您的Domain Whitelist,以限制其他脚本恶意将付款数据发送给不受信任的第三方的可能性 . 您只需添加
https://api.stripe.com
以支持与Stripe通信 .始终按照Stripe.js documentation从我们的服务器加载最新版本的Stripe.js.这将确保您始终了解我们添加到Stripe.js的任何错误修正和补丁
除此之外,我相信您的曝光类似于在浏览器中加载的普通网页中使用Stripe.js .
(我应该注意,我假设您使用的是Stripe.js而不是Stripe Checkout - 后者需要将
https://checkout.stripe.com
域添加到域白名单中 . )我在类似的问题中发布了与此相关的答案 . 如果您控制自定义API,请为其提供https保护,并将整个结帐表单向下发送到iframe(设置为API endpoints 的源) .
然后使用像Cordova-HTTP这样的插件进行SSL固定,你应该更安全!
原始答案:Implement Stripe Payment Gateway in Cordova/Phonegap Application