我正在静态站点中构建一个非常简单的Stripe集成。
此刻,我在页面中有一个看起来像这样的表单:
<form action="index.php?r=site%2Fcharge" method="POST">
<script src="https://checkout.stripe.com/checkout.js" class="stripe-button active" data-key="pk_test_4I2uFEEIFTlM3RltS1ygwol7" data-amount="3000" data-name="Dave's Shop" data-description="One widget" data-currency="GBP" data-image="https://stripe.com/img/documentation/checkout/marketplace.png" data-locale="auto" data-label="Buy now!" data-zip-code="false">
</script><button type="submit" class="stripe-button-el" style="visibility: visible;"><span style="display: block; min-height: 30px;">Buy now!</span></button>
<input type="hidden" name="currency" value="GBP">
<input type="hidden" name="productdescription" value="One widget">
<input type="hidden" name="total" value="3000">
<input type="hidden" name="_csrf-frontend" value="H8khGOjggfkaJ6dlY48iW5ZNlSo1UR8ZIALb8GnV7GVcomto25rxvDdxwi0M5UQypAajeX01VENPYayVXa3fSA==">
</form>
我的Web框架随附了_csrf输入,以确保从应用程序真正提交所有表单。
我的问题是,我是否需要做任何其他事情来阻止任何人修改此表单-通过Inspector说使费用金额变为30(例如,而不是3000)并以低于收取的费用获得产品?
还是checkout.js得到了全面覆盖?