我正在使用stripe.js进行条带支付。我需要设置一个回调wenhook来接收来自条带的请求。将csrf标记传递给条带
由于webhook是通过条带发布的 - 我已将其标记为csrf_excempt
。
- 制作此视图是否有任何风险
csrf_excempt
? - 如果我在这个视图上应该有csrf保护,我该如何通过并从条带中获取csrf标记?
我正在使用stripe.js进行条带支付。我需要设置一个回调wenhook来接收来自条带的请求。将csrf标记传递给条带
由于webhook是通过条带发布的 - 我已将其标记为csrf_excempt
。
csrf_excempt
?这不起作用。绝对禁用来自Stripe的回调的csrf。
即使你..
csrf_token
以条纹令牌就与此无关在这一点上,因为令牌只适用于您当前的浏览器会话(通常是cookie)。
CSRF令牌根据每个请求生成并发送到浏览器以存储在cookie中。 Stripe不会有这个cookie,因此你会得到一个CSRF错误。
您可能还会考虑将来只使用django-stripe-payments。
由于接受的答案表示无法使用带条带回调的CSRF令牌。
Stripe Webhook Documentation中推荐的安全方法是使用传入webhook中的ID将请求发送回Stripe以获取完整的事件详细信息。
这正是CSRF令牌的目的所在。 –
看看[这里](http://bryanhelmig.com/20-minutes-with-stripe-and-django/) – Mounir
@Mounir:这不使用stripe.js - 我们不想发布数据到我们的服务器。太多的PCI合规性麻烦。 – shabda