Stripe 是一种支付处理服务,其工作方式或多或少是这样的:
- 用户访问我们的网络应用程序并在表格中填写他们的卡详细信息
- 一些由 Stripe 提供并加载在
<script>
页面标签中的 JavaScript 向 Stripe 的服务器发出异步请求,后者将卡片详细信息交换为令牌 - 令牌被发布到我们的应用程序后端,后端将其发送回 Stripe。这会导致在用户的银行收取费用
我们的服务器只允许通过 TLS 1.2 与 Stripe 的 API 通信。
但是,Stripe 前端 JavaScript 支持 IE9 和 IE10,它们不能开箱即用地处理 TLS 1.2。因此,这些浏览器上的一些用户将使用较弱的 TLS 1.0 请求 Stripe JavaScript。
有什么办法可以阻止有人为这些用户欺骗 Stripe JavaScript 并在他们的卡详细信息中进行中间人处理?