我正在关注Ryan Bates的Railscast向Stripe提交付款。他删除了信用卡信息的名称属性,这样就不会将信用卡信息提交给服务器,只能通过ajax调用提交给Stripe。
这与jQuery Validation不兼容,因为它需要name属性。
我最终决定回到使用name属性,但在Stripe回调中将其设置为null。
我的问题是这是否仍然是一种良好,安全的做法。
答案 0 :(得分:5)
我们建议不在表单字段中放置名称属性,这样您就可以确保输入永远不会提交给您的服务器。例如,如果客户端代码中捕获表单提交事件时出现JavaScript错误,则可能会发生这种情况。
话虽如此,这只是一个预防措施,而非要求。
答案 1 :(得分:1)
对于PCI自满,不建议通过ajax提交卡详细信息。我处理卡处理相当多的蚂蚁,最好的行动方案是:
您可以在此处详细了解PCI合规性:http://www.cisco.com/en/US/netsol/ns625/index.html
请注意,如果您遵循正确的PCI合规性要求,处理卡详细信息的公司将不会遇到符合PCI标准的问题。很多银行已经开始强制他们的客户遵守PCI合规要求。