我正在使用NSUrlConnection异步请求将信用卡信息传输到安全的第三方服务器。
我执行以下操作:
- 我从 uitextfields 获取信用卡号、cvv 等。
-
将信用卡信息编码为 json 格式。设置为
NSURLConnection请求的 httpd 正文,如下所示:NSDictionary * params = @{"creditCardNumber": @"4242....", @"cvv": @"455".... NSURL * url = [[NSURL URLWithString: "https://www.example.com"]; NSMutableURLRequest * request = [[NSMutableURLRequest alloc] initWithURL: url]; [request setHTTPMethod: @"POST"]; [request setValue:@"application/json" forHTTPHeaderField:@"Accept"]; [request setValue:@"application/json" forHTTPHeaderField:@"Content-Type"]; [request setHTTPBody: [NSJSONSerialization dataWithJSONObject: params options: kNilOptions error: &parseError]]; -
通过异步请求将此信息发送到安全的第三方服务器:
[NSURLConnection sendAsynchronousRequest:request queue: queue completionHandler:^(NSURLResponse *response, NSData *data, NSError * requestError) {
使用 nsurlconnection 异步请求将用户信用卡信息发送到第三方服务器时,我应该考虑什么?
这是从移动应用程序发送信用卡信息的正确方法吗?
我能做些什么来防止中间人攻击?
根据您正在做的事情,您可能需要遵守PCI,PADSS等标准。
除了通过 HTTPS 进行通信外,针对中间人攻击的一般强化流程还包括:
- 不要在设备上存储任何详细信息。存储在内存中是可以的。
- 后端指示您使用许多预提取的公共加密密钥之一。每个键都与一个 id 相关联。您将从本地商店获取它指示您使用的密钥。您将使用该键创建 deta 的哈希。然后发送到后端。
对于加密,我建议查看CoocaSecurity项目。它包装了一些较低级别的 API,使它们更容易"消化"(请原谅双关语)。
您的请求看起来不错,只需确保您通过https而不是http进行访问即可。这意味着您的服务器必须支持 https
假设您的 Web 服务有一些安全身份验证方案之王,您至少已经清除了基础知识。你最大的弱点是HTTPS。特别是在移动世界中,HTTPS很容易被渗透。我知道这听起来有点偏执,但你必须这样想才能保持领先。
下一步是对请求的有效负载应用额外的加密级别。河豚将是加密有效载荷的一种简单易行的方法。