Django 上的 Stripe 安全问题
Stripe Security Concern on Django
将 Stripe 的 PaymentIntent API 的 clientSecret 以明文形式存储在客户端 HTML 是否会产生安全问题?我是 Web 开发的新手,并按照本教程集成了 Stripe 的 PaymentIntent API:https://stripe.com/docs/payments/accept-a-payment。不幸的是,他们没有专门针对 Django 的指南。该指南适用于烧瓶。我尽力即兴创作,但我不想经历为传递 PaymentIntent 的客户秘密而制作特定端点的麻烦。相反,我定义了一个 clientSecret 变量,我通过 {{ clientsecret}} 在客户端以明文形式存储它。为了提供一些背景知识,我将 Django 3.0 与 django-oscar 2 和 python 3.6 一起使用。
Stripe 指南指出,"The client secret should still be handled carefully because it can complete the charge. Do not log it, embed it in URLs, or expose it to anyone but the customer." 我不相信我正在这样做,但恐怕通过将其定义为网页由 Django 提供的变量,有某种日志记录。我使用的是 https,所以我相信对于公开的网页内容有一些限制,而且它绝对不会在 URL 本身中公开。
让我知道你们的想法,不要试图损失别人的钱!
如果您在 Stripe 教程中单击 "server-side rendering",他们的 Python 示例看起来就像您所说的那样。他们只是将 {{ client_secret }} 存储在 <button> 元素的属性中。
将 Stripe 的 PaymentIntent API 的 clientSecret 以明文形式存储在客户端 HTML 是否会产生安全问题?我是 Web 开发的新手,并按照本教程集成了 Stripe 的 PaymentIntent API:https://stripe.com/docs/payments/accept-a-payment。不幸的是,他们没有专门针对 Django 的指南。该指南适用于烧瓶。我尽力即兴创作,但我不想经历为传递 PaymentIntent 的客户秘密而制作特定端点的麻烦。相反,我定义了一个 clientSecret 变量,我通过 {{ clientsecret}} 在客户端以明文形式存储它。为了提供一些背景知识,我将 Django 3.0 与 django-oscar 2 和 python 3.6 一起使用。
Stripe 指南指出,"The client secret should still be handled carefully because it can complete the charge. Do not log it, embed it in URLs, or expose it to anyone but the customer." 我不相信我正在这样做,但恐怕通过将其定义为网页由 Django 提供的变量,有某种日志记录。我使用的是 https,所以我相信对于公开的网页内容有一些限制,而且它绝对不会在 URL 本身中公开。
让我知道你们的想法,不要试图损失别人的钱!
如果您在 Stripe 教程中单击 "server-side rendering",他们的 Python 示例看起来就像您所说的那样。他们只是将 {{ client_secret }} 存储在 <button> 元素的属性中。