我正在关注 Ryan Bates 的 Railscast 向 Stripe 提交付款。他删除了信用卡信息的 name 属性,这样信用卡信息就不会提交给服务器,只能通过 ajax 调用提交给 Stripe。
这与 jQuery Validation 不兼容,因为它需要一个 name 属性。
我最终决定重新使用 name 属性,但在 Stripe 回调中将其设置为 null。
我的问题是这是否仍然是一个好的、安全的做法。
问问题
2747 次
2 回答
6
我们建议不要将名称属性放在表单字段中的原因是,您可以确保输入永远不会提交到您的服务器。例如,如果在捕获表单提交事件的客户端代码中存在 JavaScript 错误,则可能会发生这种情况。
话虽如此,这只是一种预防措施,而不是要求。
于 2013-01-27T18:34:44.963 回答
1
对于 PCI 自满,不建议通过 ajax 提交卡详细信息。我经常处理卡片处理,最好的做法是:
- 确保 SSL 连接 (HTTPS) 上的页面
- 使用普通形式的 POST 方法
- 确保您的服务器配置符合 PCI 合规性要求
- 从不存储卡的详细信息
您可以在此处阅读有关 PCI 合规性的更多信息:http ://www.cisco.com/en/US/netsol/ns625/index.html
请注意,如果您遵循适当的 PCI 合规性要求,处理卡详细信息的公司将毫无问题地成为 PCI 合规性。许多银行已经开始强制其客户按照必要的要求遵守 PCI 合规性。
于 2013-01-27T18:04:30.823 回答