安全性问题在Cordova上使用Stripe checkout

Question

我正在研究使用Stripe.js在Cordova中包含的移动Web应用程序中进行支付处理。根据Stripe文档，所有结帐页面都应通过https提供。由于Cordova在技术上将在webview中本地提供这些页面，我是否应该担心任何安全问题？

注意：我仍然会使用https将Stripe中的标记化卡片详细信息提交到我的远程API服务器，以实际完成收费。

Answer 1

我是Stripe的工程师。

Cordova / PhoneGap不是我们积极支持Stripe.js的平台，但在与团队讨论之后，我们就如何减轻潜在漏洞提出了两点建议：

1. 明智地配置您的Domain Whitelist，以限制其他脚本恶意将付款数据发送给不受信任的第三方的可能性。您只需添加https://api.stripe.com即可支持与Stripe进行通信。
2. 始终按照Stripe.js documentation从我们的服务器加载最新版本的Stripe.js。这将确保您始终了解我们添加到Stripe.js的任何错误修正和补丁

除此之外，我相信您的曝光类似于在浏览器中加载的普通网页中使用Stripe.js。

（我应该注意，我假设你使用的是Stripe.js而不是Stripe Checkout - 后者需要将https://checkout.stripe.com域添加到域白名单中。）

Answer 2

我在一个类似的问题中发布了与此相关的答案。如果您控制自定义API，请为其提供https保护，并将整个结帐表单向下发送到iframe（设置为API端点的源代码）。

然后使用像Cordova-HTTP这样的插件进行SSL固定，您应该更安全！

原始答案： Implement Stripe Payment Gateway in Cordova/Phonegap Application