Проблемы с безопасностью при использовании Stripe checkout над Cordova

Я изучаю использование Stripe.js для обработки платежей в мобильном веб-приложении, завершенном в Кордове. Согласно документации Stripe, все страницы проверки должны быть переданы через https. Поскольку Кордова будет технически обслуживать эти страницы локально в веб-обзоре, есть ли проблемы безопасности, о которых я должен беспокоиться?

Примечание. Я по-прежнему буду использовать https для отправки данных с символикой карты из Stripe на мой удаленный сервер API для фактического завершения заряда.

Ответы

Ответ 1

Я инженер в Stripe.

Cordova/PhoneGap не является платформой, которую мы активно поддерживаем с помощью Stripe.js, но после разговора с командой у нас есть два предложения по смягчению потенциальных уязвимостей:

  • Настройте свой белый список доменов разумно, чтобы ограничить возможность других сценариев, злонамеренно отправляющих платежные данные ненадежной третьей стороне. Вам нужно добавить только https://api.stripe.com, чтобы поддерживать связь с Stripe.
  • Всегда загружайте последнюю версию Stripe.js с наших серверов в соответствии с документацией Stripe.js. Это гарантирует, что вы всегда обновляетесь с любыми исправлениями и исправлениями, которые мы добавляем в Stripe.js

Помимо этого, я считаю, что ваше воздействие похоже на использование Stripe.js на обычной веб-странице, загруженной в браузере.

(Я должен отметить, что я предполагаю, что вы используете Stripe.js, а не Stripe Checkout - для последнего потребуется добавить домен https://checkout.stripe.com в белый список домена.)

Ответ 2

Я отправил ответ, связанный с этим, в подобном вопросе. Если вы управляете настраиваемым API, предоставьте ему защиту https и отправьте всю форму выписки в iframe (источник установлен в конечную точку API).

Затем используйте плагин, например Cordova-HTTP для закрепления SSL, и вы должны быть более безопасным!

Оригинальный ответ: Внедрить полосовый платежный шлюз в приложении Cordova/Phonegap