Web API 使用 2sxc Javascript 库的安全性
Web API Security using 2sxc Javascript Library
我正在使用 2sxc 构建一个接受 PCI 并处理付款的付款表格。
我看到 2sxc javascript 库声明它处理防伪令牌和其他安全元素,但并没有真正看到太多关于它的文档。我很好奇 2sxc javascript 库是否适合在 2sxc 中对 Web API 进行安全调用,以便我可以处理信用卡交易。
这是信用卡支付处理逻辑的生命周期
- 用户点击支付按钮
- jquery 使用 $2sxc 构建请求并将信息发送到 Web API(是否有加密此流量的方法)
- 2sxc 网络 api 现在将使用我的支付网关构建适当的请求并发送请求
这里要注意的重要一点是,实际支付是由服务器处理的,因此用户永远不会真正看到对支付网关的调用。
问题归结为将 PCI 信息发送到 Web API 并且数据需要安全。简单的答案是 $2sxc 有钩子来加密和安全地将数据传输到网络 api 或不
所以简短的回答是否定的,2sxc 不加密任何东西。
较长的答案与 DNN 如何处理请求有关。 DNN 中的安全令牌实际上会阻止对 API 的调用,如果它们不是来自真实页面的话 - 因此如果某些 headers 丢失,标准 API 调用将被阻止 - 如果您构建web-APIs 使用此 DNN token-check。 2sxc 确保包含这些,这不是火箭科学,但实际上一旦你开始使用像 Angular 这样的 JS 框架就会变得非常困难,因为 DNN 中的实现有点不可靠。
我正在使用 2sxc 构建一个接受 PCI 并处理付款的付款表格。
我看到 2sxc javascript 库声明它处理防伪令牌和其他安全元素,但并没有真正看到太多关于它的文档。我很好奇 2sxc javascript 库是否适合在 2sxc 中对 Web API 进行安全调用,以便我可以处理信用卡交易。
这是信用卡支付处理逻辑的生命周期
- 用户点击支付按钮
- jquery 使用 $2sxc 构建请求并将信息发送到 Web API(是否有加密此流量的方法)
- 2sxc 网络 api 现在将使用我的支付网关构建适当的请求并发送请求
这里要注意的重要一点是,实际支付是由服务器处理的,因此用户永远不会真正看到对支付网关的调用。
问题归结为将 PCI 信息发送到 Web API 并且数据需要安全。简单的答案是 $2sxc 有钩子来加密和安全地将数据传输到网络 api 或不
所以简短的回答是否定的,2sxc 不加密任何东西。
较长的答案与 DNN 如何处理请求有关。 DNN 中的安全令牌实际上会阻止对 API 的调用,如果它们不是来自真实页面的话 - 因此如果某些 headers 丢失,标准 API 调用将被阻止 - 如果您构建web-APIs 使用此 DNN token-check。 2sxc 确保包含这些,这不是火箭科学,但实际上一旦你开始使用像 Angular 这样的 JS 框架就会变得非常困难,因为 DNN 中的实现有点不可靠。