Я работаю на веб-сайте, который берет платеж у клиента. Я использую Kohana 2.3.4 и создал библиотеку для обработки платежного шлюза, который я использую (www.eway.com.au). В основном я просто использую свой пример кода, скопированный в его собственный класс.Платежные шлюзы и XSS
В любом случае, код работает нормально, и я могу совершать платежи и т. Д. У меня есть проблема, когда платежный шлюз возвращает пользователя на мой сайт. Платежный шлюз использует HTTPS, чтобы он был безопасным, и он отправляет пользователя обратно на страницу HTTPS на моем сайте.
Однако у меня есть плагин NoScript, установленный в Firefox, и когда я отправляюсь обратно на страницу своего веб-сайта (которая также хранит данные транзакции), я получаю сообщение об ошибке, указывающее, что NoScript заблокировал потенциальную атаку XSS.
Теперь я понимаю, почему он небезопасен (данные POST отправляются через два разных домена), но что я должен делать вместо этого? Очевидно, что во время моего тестирования я временно отключил NoScript, и все работает отлично, но я не могу полагаться на это для конечных пользователей.
Какая у вас лучшая практика?
Я также слишком используя Кохана и Eway ... дайте мне знать, если вы когда-нибудь выпустить свой модуль. Благодарю. – alex