问题标签 [3d-secure]

我们的网站使用 Braintree 实施 3D Secure 的内容安全策略。

songbird.js（Braintree 使用的 3D Secure 的CardinalCommerce实现）多次调用第三方网站（例如 kg668dbov0.execute-api.us-east-1.amazonaws.com、touchtechpayments.com 或 arcot.com ) 未记录在 Braintree 此处https://braintree.github.io/braintree-web/current/概述的 CSP 要求中。

这些对第三方网站的调用似乎也没有记录在网络上的任何地方，而且似乎是随机变化的。每次有未记录的更改都会破坏我们的 3DS 集成（iFrame 不会加载，因为未记录的 url 被 CSP 阻止）。

url 似乎因使用的卡而异（touchtechpayments.com 似乎是 Revolut 卡，arcot.com 似乎是 HSBC），我可以在我们的 CSP 违规报告中看到法国银行的其他几个：https:// bred.wlp-acs.com为 Bred，https: //bnpp-3ds.wlp-acs.com 为法国巴黎银行）。

有谁知道我在哪里可以找到 songbird.js 的内容安全策略要求的最新列表？

我们有一个使用Stripe PaymentIntent 和 3D Secure的 cordova 应用程序。

尝试验证付款时，应为 3DSecure 打开 iframe。Cordova 应用程序需要使用白名单插件。我们有以下白名单：

正如不同的回答者所规定的：

• 条纹：HTML Checkout iOS Cordova 无法打开
• 在 Cordova 上使用 Stripe 结账的安全问题

这足以使用测试卡号进行测试，但是一旦投入生产，我们就开始遇到用户抱怨支付验证出现白屏的问题。查看日志会给我们这个错误：

错误内部导航被拒绝 - 未为 url='<a href="https://verifiedbyvisa.acs.touchtechpayments.com/v1/payerAuthentication" rel="nofollow noreferrer">https://verifiedbyvisa.acs 设置允许导航。 touchtechpayments.com/v1/payerAuthentication'</p>

所以现在我们想知道这是我们应该允许的唯一网址吗？搜索将我们引向这篇文章：Touchtech 加入 Stripe，所以也许我们应该允许来自 Touchtech 的每个 url？

是否有关于 Stripe 将尝试将哪些 url 作为 3DSecure 的 iframe 加载的文档，以便涵盖每个案例？

我按照https://github.com/Mastercard-Gateway/gateway-android-sdk/wiki这个在我的应用程序中付款。

最初使用测试商家 ID 通过以下 API 创建会话。 https://mtf.gateway.mastercard.com/api/rest/version/56/merchant/DB***/session/SESSION000****

它给出了会话 ID 作为响应，并在更新会话 API 中更新了我的卡详细信息。收到成功消息，例如 {"session":{"updateStatus":"SUCCESS","version":"cd9f6b9602"}}

之后，我生成一个随机 3DSecureId 用于测试，并在 check3DSecureEnrollment API 中传递了 sessionId、AMOUNT、CURRENCY、3dSecureId。

但是得到 - 错误意外响应代码 400。我无法弄清楚这个参数中的问题是什么？

另一种尝试是 - https://github.com/Mastercard-Gateway/gateway-android-sdk/wiki/3D-Secure-Authentication

在上面的链接中检查了选项 1 和 2。显示膨胀类布局 InflateException 的错误。

需要帮助来解决这些问题？

我正在开发一个带有支付模块的网站，我需要处理 3Dsecure 并且有一个关于这样做的好方法的问题。

我正在使用 Php 和 Laravel 进行开发，但我认为这是一个普遍的问题。

我首先向 3DSecure 服务器发出请求，以了解该卡是否使用该服务。在这个请求中，我传递了卡信息（姓名、号码、到期日期、cvv ...）。在重定向到我网站的另一个 url 后，服务器给我一个 md 代码和一个 pareq 代码的响应。

在这个网址上，我有一个新的代码。然后我必须使用此代码+卡信息提出付款请求。

问题是因为用户在表单中给了我卡片信息，在这个页面（3DS 重定向的地方）我没有卡片信息了。

我看到了一个解决方案：我可以在加密的 cookie 中传递卡信息，但我不确定这是最佳做法。

任何人都知道什么是最好的解决方案？

编辑 ：

• 将它存储在数据库中会更安全吗（当然也是加密的）？
• 使用唯一的加密密钥对其进行加密会更好吗？我会存储在数据库中吗？（我会用网站的通用密钥加密唯一密钥）

谢谢

我正在 Hybris 中进行第三方支付集成 Adyen，在成功进行 3D 安全验证后，发卡机构会将购物者重定向到我们的网站。在这种情况下，我将收到对我在 returnURl 中指定的 URL 的 HTTP POST 调用，在我的情况下是https://localhost:9002/test/en/EUR/payment/submitResponse.

从发卡机构到我们的 URL 的 HTTP POST 调用包括以下参数：

1. MD——发卡机构返回的支付会话标识符。
2. PaRes – 发卡机构返回的支付授权响应。

请求标头：

控制器注释：

方法：

我检查了来自 Adyen 的 POST 请求的标头，发现了表单数据：

但是，我收到以下异常：

在浏览器控制台中：

https://developer.sage.com/api/payments/api/#operation/retrieveTransaction

在3D-Secure Authenticate之后，我无法使用transactionId检索交易。我收到以下回复：

有时它工作正常。然后是这样的响应：

有谁知道我该如何解决这个问题？

我们发现每天约有 15-20 笔 3DS v1 交易被拒绝，并出现“15 分钟不活动后超时。这通常是因为客户关闭了浏览器”错误。

我们已经与客户交谈过，这似乎是指向 ASCURL 的问题，因为他们没有关闭浏览器。

经过进一步调查，我们发现失败的 URLS 状态为：- “系统当前不可用，给您带来的不便，请见谅！”

例子：-

需要明确的是（因为我们没有传递任何安全细节），一个没有参数的工作ASCURL 会给出一个不同的错误：- “由于系统错误，您的身份验证无法完成。如果这种情况持续发生，请联系您的 CSR 。”

例子：-

有谁知道从哪里开始？

我们使用保存的信用卡和 3dsecure（SAP commerce/hybris）实现了一种支付方式，但它并不总是有效。有时，在从支付服务返回后，会抛出 orderData 的空指针。原因似乎是，用户有时在返回后是匿名的，所以 orderData 不可见。（顺便说一下 orderData 存在）

但我不知道为什么会这样。就像我说的那样，它只是偶尔在 prod 上发生，但是当我在本地调试时，它大部分时间都会发生。并且在 paymenservice 付款被授权。

但是调试起来很麻烦，因为没有任何测试卡可以用 3dscure 测试，所以我每次都必须使用真实的。

老实说，我不确定是否允许我在这里显示代码，所以请原谅我，现在没有显示它（我没有写它）。

是否有任何“常见”错误/建议/最佳实践或其他？或者也许只是一个想法？

哦，我们不会遇到像贝宝这样的其他退货的问题。

我们与 Stripe 集成，但现在我们使用 3D 安全。在我们的系统中，当用户注册时，我们必须授予该卡稍后收费的权限。因此，通过我们分析的文档，我们创建并确认了一个 SetupIntent，但在创建条带返回的 Carge (PaymentIntent) 时是“您的卡被拒绝。此交易需要身份验证。”

任何想法？谢谢大家

如何使用自定义条带形式，然后使用 ASP.NET MVC 与 3D 安全选项集成？