将移动应用程序表单提交到 ssl 服务器
Submit mobile app form to ssl server
我正在使用 Phonegap 构建一个应用程序,该应用程序有一个包含信用卡信息的表单,该信息被提交到我的服务器。服务器上有 SSL,从那里使用支付网关 API 我为此信用卡生成一个令牌以处理付款。
直接 post 到服务器是否安全,因为我使用的是移动应用程序,因此潜在的攻击者无法与表单本身交互?
我可以 post 将数据直接发送到支付网关以检索该令牌,但我想要服务器解决方案,因为我可以更好地处理任何 errors/exception。
你有什么看法??
我真的不喜欢用于移动开发的混合技术。但是,您需要创建一些验证,例如 SSH 固定。因为攻击者可以执行 mitm,也许他们可以获得一些信息。另一个问题是使用混合技术更容易执行逆向工程,也许攻击者也可以获得重要数据。
如果您 post 将数据卡到您的服务器,那么您、它、它的网络和托管环境都必须符合 PCI 投诉,这是一项 重大 工作,涉及重大不仅仅是简单地使用 SSL:Q: Am I PCI compliant if I have an SSL certificate?
I could post the data directly to the payment gateway
是的。这样做,很简单。
我正在使用 Phonegap 构建一个应用程序,该应用程序有一个包含信用卡信息的表单,该信息被提交到我的服务器。服务器上有 SSL,从那里使用支付网关 API 我为此信用卡生成一个令牌以处理付款。
直接 post 到服务器是否安全,因为我使用的是移动应用程序,因此潜在的攻击者无法与表单本身交互?
我可以 post 将数据直接发送到支付网关以检索该令牌,但我想要服务器解决方案,因为我可以更好地处理任何 errors/exception。
你有什么看法??
我真的不喜欢用于移动开发的混合技术。但是,您需要创建一些验证,例如 SSH 固定。因为攻击者可以执行 mitm,也许他们可以获得一些信息。另一个问题是使用混合技术更容易执行逆向工程,也许攻击者也可以获得重要数据。
如果您 post 将数据卡到您的服务器,那么您、它、它的网络和托管环境都必须符合 PCI 投诉,这是一项 重大 工作,涉及重大不仅仅是简单地使用 SSL:Q: Am I PCI compliant if I have an SSL certificate?
I could post the data directly to the payment gateway
是的。这样做,很简单。