我正在从一位客户处收取付款的网站上工作。我使用Kohana 2.3.4,并创建了一个库来处理我使用的支付网关(www.eway.com.au)。基本上我只是使用他们的示例代码,复制到它自己的类中。支付网关和XSS
无论如何,代码工作正常,我可以付款等我遇到的问题是当支付网关正在返回用户到我的网站。支付网关使用HTTPS以确保安全,并将用户发送回我网站上的HTTPS页面。
但是我在Firefox中安装了NoScript插件,并且当我回到我网站上的页面(它也处理存储交易数据)时,我收到一条错误消息,说NoScript已经阻止了潜在的XSS攻击。
现在我明白为什么它是不安全的(POST数据通过两个不同的域发送),但我应该怎么做呢?很显然,在我测试期间,我暂时禁用了NoScript,并且它一切正常,但我不能依赖于最终用户。
这里最好的做法是什么?
我也使用过Kohana的和EWAY ...让我知道如果你释放你的模块。谢谢。 – alex 2010-06-04 05:47:29