결제 게이트웨이 및 XSS

Question

나는 고객으로부터 지불을받는 웹 사이트에서 일하고 있습니다. 저는 Kohana 2.3.4를 사용하고 있으며 사용하는 지불 게이트웨이 (www.eway.com.au)를 처리 할 라이브러리를 만들었습니다. 기본적으로 나는 자신의 클래스에 복사 된 샘플 코드를 사용하고있다.

어쨌든, 코드는 정상적으로 작동하고 지불 등을 할 수 있습니다. 지불 게이트웨이가 사용자를 내 사이트로 반송 할 때의 문제입니다. 지불 게이트웨이는 HTTPS를 사용하여 보안을 유지하고 사용자를 내 사이트의 HTTPS 페이지로 다시 보냅니다.

그러나 NoScript 플러그인이 Firefox에 설치되어 있고 내 웹 사이트 (트랜잭션 데이터 저장을 처리하는 페이지)로 다시 보내면 NoScript가 잠재적 인 XSS 공격을 차단했다는 오류 메시지가 나타납니다.

이제 왜 안전하지 않은지 (두 개의 다른 도메인에서 POST 데이터가 전송되고 있음) 이해하지만 대신 무엇을해야합니까? 분명히 여기서 나의 테스트를하는 동안 나는 NoScript를 일시적으로 사용하지 못하게하고 모든 것이 잘 작동하지만 최종 사용자에게는 그걸 의지 할 수 없다.

여기에서 가장 좋은 방법은 무엇입니까?

Answer 1

이것은 대부분의 지불 게이트웨이가 작동하는 방식입니다. 게이트웨이가 전송 된 데이터를 처리하는 또 다른 방법을 제공하지 않는다면 문제가 생길 것입니다.

반면에 : 너무 많이 걱정하지 마십시오. 잠재 고객에 따라 대부분의 사용자는 NoScript를 설치하지 않습니다. 그리고 그렇게하는 사람들은 그러한 상황에서해야 할 일을 잘 알게 될 것입니다.

Answer 2

가 나는 또한 너무 Kohana와 eWay를 사용 해요 way to detect if NoScript is being used