我正在开发一个从客户那里收款的网站。我正在使用 Kohana 2.3.4 并创建了一个库来处理我使用的支付网关 (www.eway.com.au)。基本上我只是使用他们的示例代码,复制到它自己的类中。
无论如何,代码工作正常,我可以付款等。我遇到的问题是支付网关何时将用户返回到我的网站。支付网关使用 HTTPS,因此是安全的,它会将用户发送回我网站上的 HTTPS 页面。
但是,我在 Firefox 中安装了 NoScript 插件,当我被发送回我网站上的页面(也处理存储交易数据)时,我收到一条错误消息,指出 NoScript 已经阻止了潜在的 XSS 攻击。
现在我明白了为什么它不安全(POST 数据通过两个不同的域发送),但我应该怎么做呢?显然,在我在这里进行测试期间,我暂时禁用了 NoScript,一切正常,但我不能依赖最终用户。
这里的最佳做法是什么?