客户通过移动应用程序将信用卡信息发送至服务器以完成购买。服务器将托管PHP脚本,这些脚本引用了Stripe REST API(将用于付款)。数据通过SSL连接上的HTTP POST发送。我的问题是这种方法是否安全?通过HTTP标头发送数据会使它更安全吗?
答案 0 :(得分:5)
我的问题是这种方法是否安全?
如果您的问题是关于保护客户端和服务器之间的信息传输,那么只要您使用强大的密码和证书以及客户端应用程序正确的证书验证正确实施了TLS,它就足够安全。
如果您反而询问这是否安全,则无法回答此问题,因为数据的安全性不仅取决于传输,还取决于您如何继续TLS连接之外的数据,即如果您存储数据在服务器或客户端应用程序中,如果您的站点容易受到SQL注入或类似攻击,因此攻击者可以检索存储的数据等。
如果您在法律上允许以这种方式处理数据,您还应该咨询您的支付提供商。
通过HTTP标头发送数据会使其更安全吗?
没有。它甚至可能更糟,因为一些HTTP标头通常存储在日志文件中,从而将信息暴露在TLS连接之外。
答案 1 :(得分:0)
Stripe有一个强大的Javascript API,允许您处理客户端数据(在移动应用程序的用户手机上)并直接发送到Stripe,而不会触及您的服务器。
此API的文档位于:
https://stripe.com/docs/stripe.js
他们还有常用于编写应用程序的其他语言的客户端API。参见: