【发布时间】:2019-05-09 16:48:14
【问题描述】:
Braintree、Stripe 等许多支付方式提供商 API 提供了一个回调系统,允许商家收到交易结果的通知。
主要问题是:如何避免恶意请求?
假设攻击者可以复制我们暴露的回调 REST API(显然使用 HTTPS),这将导致许多虚假的成功交易。
有什么方法可以防止这种情况发生吗?我在 Stripe 链接上阅读了有关 CRSF 令牌的信息,但我不清楚如何在我的电子商务网站和提供商 API 之间安全地传递它。
【问题讨论】:
标签: rest security stripe-payments owasp java-security