Stripe 令牌 - 为什么令牌中不包含数据量
Stripe token - why isn't data-amount included in the token
我最近一直在玩 stripe,虽然我完全理解令牌会从服务器隐藏客户的信用卡详细信息。这 tutorial 建议服务器不应依赖数据量,因为它可以由客户端更改
Don’t Rely on the Form’s Price
A frequent mistake stems from using form data to contain the price of
the product being purchased, possibly via a hidden input. Because a
user can easily edit this input’s value, it’s unwise to depend on it.
Always fetch the price of the product from the server-side. Never rely
on the form to tell you. A simple database query is the preferred option.
有人可以解释一下为什么 stripe 在令牌生成中不包含数据量值作为参数吗?服务器端代码是否有可能更改商定的价格并向客户多收费用。
充值金额由您决定。例如,酒店可以授权 100 美元过夜,但在结账时发现您使用了迷你吧,然后收取 150 美元。或者自动计算的运费已关闭,所以当您实际购买运费时少了 5 美元,并且您决定收取比您的授权少 5 美元的费用。
您应该做的是计算向客户收取的金额,通过类似购物车的功能保存在您的数据库中(或以某种方式在服务器端),然后将结帐表格发送给客户,然后使用之前计算的金额 运行 授权然后收费。
最终用户可以轻松更改表单数据。只需打开页面并右键单击(在 chrome 中)并单击检查元素。然后您可以任意更改表单数据。因此,如果您使用它,用户可以将 1,000.00 美元产品的价格设置为 0.01 美元。
PCI 世界中令牌化的提议是让敏感数据远离您的服务器。否则,您将自己收集 PCI 数据,然后将数量与 PCI 数据一起发送到处理器。通过永远不让敏感数据接触您的系统,您可以节省大量资金并避免 PCI 合规性问题。请参阅这份 115 页的文档:https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf
希望对您有所帮助,请发表评论,如果没有帮助,我会尽力提供进一步的帮助。
令牌是待处理费用的占位符,它还不知道您要收取多少费用。一旦您准备好为卡充电,一个 api 请求将连同令牌一起发送到 Stripe。对金额的担忧涉及依赖 POST 来自客户可以操纵的表格的数据。
我最近一直在玩 stripe,虽然我完全理解令牌会从服务器隐藏客户的信用卡详细信息。这 tutorial 建议服务器不应依赖数据量,因为它可以由客户端更改
Don’t Rely on the Form’s Price
A frequent mistake stems from using form data to contain the price of
the product being purchased, possibly via a hidden input. Because a
user can easily edit this input’s value, it’s unwise to depend on it.
Always fetch the price of the product from the server-side. Never rely
on the form to tell you. A simple database query is the preferred option.
有人可以解释一下为什么 stripe 在令牌生成中不包含数据量值作为参数吗?服务器端代码是否有可能更改商定的价格并向客户多收费用。
充值金额由您决定。例如,酒店可以授权 100 美元过夜,但在结账时发现您使用了迷你吧,然后收取 150 美元。或者自动计算的运费已关闭,所以当您实际购买运费时少了 5 美元,并且您决定收取比您的授权少 5 美元的费用。
您应该做的是计算向客户收取的金额,通过类似购物车的功能保存在您的数据库中(或以某种方式在服务器端),然后将结帐表格发送给客户,然后使用之前计算的金额 运行 授权然后收费。
最终用户可以轻松更改表单数据。只需打开页面并右键单击(在 chrome 中)并单击检查元素。然后您可以任意更改表单数据。因此,如果您使用它,用户可以将 1,000.00 美元产品的价格设置为 0.01 美元。
PCI 世界中令牌化的提议是让敏感数据远离您的服务器。否则,您将自己收集 PCI 数据,然后将数量与 PCI 数据一起发送到处理器。通过永远不让敏感数据接触您的系统,您可以节省大量资金并避免 PCI 合规性问题。请参阅这份 115 页的文档:https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf
希望对您有所帮助,请发表评论,如果没有帮助,我会尽力提供进一步的帮助。
令牌是待处理费用的占位符,它还不知道您要收取多少费用。一旦您准备好为卡充电,一个 api 请求将连同令牌一起发送到 Stripe。对金额的担忧涉及依赖 POST 来自客户可以操纵的表格的数据。