【发布时间】:2011-02-21 06:47:24
【问题描述】:
我正在开发一个收取客户付款的网站。我正在使用 Kohana 2.3.4 并创建了一个库来处理我使用的支付网关 (www.eway.com.au)。基本上我只是使用他们的示例代码,复制到它自己的类中。
无论如何,代码工作正常,我可以付款等。我遇到的问题是付款网关何时将用户返回到我的网站。支付网关使用 HTTPS,因此是安全的,它会将用户发送回我网站上的 HTTPS 页面。
但是,我在 Firefox 中安装了 NoScript 插件,当我被发送回我网站上的页面(该页面还处理存储交易数据)时,我收到一条错误消息,指出 NoScript 已阻止潜在的 XSS 攻击。
现在我明白了为什么它不安全(POST 数据通过两个不同的域发送),但我应该怎么做呢?显然,在我在这里进行测试期间,我暂时禁用了 NoScript,一切正常,但我不能依赖最终用户。
这里的最佳做法是什么?
【问题讨论】:
-
我也在使用 Kohana 和 eWay...如果你发布了你的模块,请告诉我。谢谢。
标签: php xss kohana payment-gateway noscript