Passerelles de paiement et XSS

Question

Je travaille sur un site Web qui accepte les paiements d'un client. J'utilise Kohana 2.3.4 et j'ai créé une bibliothèque pour gérer la passerelle de paiement que j'utilise (www.eway.com.au). Fondamentalement, je n'utilise que leur code d'exemple, copié dans sa propre classe.

Quoi qu'il en soit, le code fonctionne bien et je peux effectuer des paiements, etc. Le problème que j'ai, c'est lorsque la passerelle de paiement renvoie l'utilisateur sur mon site. La passerelle de paiement utilise HTTPS de manière sécurisée et renvoie l'utilisateur vers une page HTTPS sur mon site. Cependant, j'ai le plugin NoScript installé dans Firefox, et quand je suis renvoyé à la page sur mon site Web (qui gère également le stockage des données de transaction), un message d'erreur indique que NoScript a bloqué une attaque XSS potentielle.

Maintenant, je comprends pourquoi ce n'est pas sécurisé (les données POST sont envoyées à travers deux domaines différents) mais que dois-je faire à la place? Évidemment, pendant mes tests ici, je désactive temporairement NoScript et tout fonctionne bien, mais je ne peux pas compter sur cela pour les utilisateurs finaux.

Quelle est la meilleure pratique ici?

Answer 1

C'est ainsi que fonctionnent la plupart des passerelles de paiement. Si votre passerelle ne vous fournit pas un autre moyen de gérer les données transmises, vous êtes bloqué avec.

D'autre part: Ne vous inquiétez pas trop. En fonction de votre audience, la plupart des utilisateurs ne disposeront pas de NoScript. Et ceux qui le font, espérons savoir ce qu'il faut faire dans une telle situation.

Answer 2

Il y a un way to detect if NoScript is being used