许多Braintree,Stripe等付款方式提供商API都提供了一种回调系统,允许向商人通知交易结果。
主要问题是:我怎样才能免受恶意要求?
假设攻击者可以复制我们公开的回调REST API(显然使用HTTPS),这将导致许多假的成功交易。
有什么方法可以防止这种情况?我在Stripe链接上了解到CRSF令牌,但是我不清楚如何在我的电子商务网站和提供商API之间安全地传递它。
答案 0 :(得分:1)
Stripe的回调系统称为webhooks(https://stripe.com/docs/webhooks) 为了防止潜在的攻击,Stripe将发送回调内容以及签名。签名是带有时间戳和webhook机密的回调内容的(HAMC SHA256)哈希。您可以验证签名(https://stripe.com/docs/webhooks/signatures),以确保确实从Stripe发送了数据。