有一次,我将 Braintree 视为可能的支付供应商,并查看了他们的 API。当时,他们有“透明重定向”选项,它解决了很多 PCI 合规性问题,而无需用户查看支付供应商的网站。此选项将信用卡数据发布到 Braintree 的服务器并发送回带有令牌的 302 重定向。
现在看起来他们正在推动 Braintree.js 选项,该选项在将信用卡数据发布到卖家网站之前对浏览器中的信用卡数据进行加密。我的问题是这样的:
在用户浏览器中关闭 Javacript 时会发生什么?
我意识到,由于输入标签没有名称属性,它们不会被发布,所以就明文卡号而言,这不是安全风险。但是交易会爆炸吗?对于出于某种原因没有 JS 工作的客户,真的没有后备方案吗?
编辑: 为了清楚起见,我完全了解 Javascript 如何在浏览器等上工作。这个问题更具体地针对 Braintree API 本身以及其中可用的选项发生的情况。