许多付款方式提供商API喜欢Braintree,Stripe等,提供了一个回调系统,可以通过交易结果通知商人。
主要问题是:我如何免受恶意要求?
假设攻击者可以重现我们裸露的回调REST API(显然与HTTPS一起(,这将导致许多虚假的成功交易。
有什么方法可以防止这种方法吗?我在Stripe Link上阅读了有关CRSF令牌的信息,但是我不清楚如何在我的电子商务网站和提供商API之间安全地传递。
Stripe的回调系统称为Webhooks(https://stripe.com/docs/webhooks(为了防止潜在的攻击,Stripe将与签名一起发送回调内容。签名是带有时间戳和Webhook Secret的回调内容的(HAMC SHA256(哈希。您可以验证签名(https://stripe.com/docs/webhooks/signatures(,以确保确实从条纹发送了数据。