标签：javascript security stripe-payments pci-compliance

如果您在页面上包含所有这些各种javascript文件,包括网站分析,点击跟踪等各种服务,这是否会产生巨大的安全风险,因为使用javascript他们可以劫持在表单上输入的人员信用卡？

目前这甚至被认为是安全的？

这意味着,您的服务器是安全的,您的支付提供商是安全的,您拥有SSL,但如果有人要破解人们使用的任何这些服务(我看到许多网站使用的10多项服务来跟踪点击,广告相关等),那么他们可以包含您的付款表单.

解决方法:

是的,这是一种安全风险,称为第三方脚本包括.

通过在第三方托管的页面上包含脚本,您相信外部域不是恶意的也不会受到损害.通过使用< script src =“// example.com”>标记,第三方域名完全控制您网站上的DOM.他们可以注入他们想要的任何JavaScript.

你是对的. PageFair was recently compromised将其提供分析服务的每个站点都放在其中.您应该验证您为脚本引用的所有第三方域,并确保您信任它们.例如,你可能对谷歌和Facebook这样的大家伙都没问题,但是你应该考虑放弃它们或者查看脚本代码然后在你的域上本地托管.

您可以使用subresource integrity缓解此问题：

<script src="https://example.com/example-framework.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
        crossorigin="anonymous"></script>

这将要求浏览器检查加载的脚本是否具有指定的加密哈希.对脚本的任何更改(即使与单个字符一样多)都会产生完全不同的哈希,从而可以检测到任何更改,并且脚本将在加载和运行时被拒绝.截至2018年8月,all major browsers support it except for IE and iOS Safari.

标签：javascript,security,stripe-payments,pci-compliance
来源： https://codeday.me/bug/20190623/1271414.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。