Przekazywanie tokena csrf na pasek

Używam paska stripe.js do rozłożenia pasków. Muszę skonfigurować Wenhook wywołania zwrotnego, aby otrzymać żądanie z paskiem.Przekazywanie tokena csrf na pasek

Ponieważ webhook jest wysyłany przy użyciu paska - zaznaczyłem go jako csrf_excempt.

Czy istnieje ryzyko związane z wyświetlaniem tego widoku csrf_excempt?
Jeśli powinienem mieć ochronę csrf w tym widoku, w jaki sposób mogę przekazać i odzyskać tokeny csrf z paska?

Źródło

2013-05-20 shabda

To jest właśnie token CSRF, aby zapobiec. –

Spójrz [tutaj] (http://bryanhelmig.com/20-minutes-with-stripe-and-django/) – Mounir

@Mounir: To nie używa stripe.js - nie chcemy publikować dane na nasze serwery. Zbyt wiele problemów ze zgodnością PCI. – shabda

To nie zadziała. Zdecydowanie wyłącz csrf dla wywołania zwrotnego ze Stripe.

nawet jeśli ..

przeszły csrf_token do naszywka
znaleźli sposób, aby uzyskać pasek aby umieścić ten sam żeton z powrotem do wywołania zwrotnego adresu URL

Token byłby nieistotny w tym momencie, ponieważ token jest tylko dla bieżącej sesji przeglądarki (zazwyczaj jest to plik cookie).

Token CSRF generowany jest na każde żądanie i wysyłany do przeglądarki w celu zapisania w pliku cookie. Stripe nie będzie mieć tego ciasteczka, a więc otrzymasz błąd CSRF.

Źródło

2013-05-20 18:07:21

Możesz również rozważyć użycie tylko django-stripe-payments w przyszłości.

Źródło

2013-08-11 01:17:35

Zgodnie z przyjętą odpowiedzią nie ma możliwości użycia tokenu CSRF z odwołaniami do pasków.

Zalecanym podejściem do zabezpieczenia w Stripe Webhook Documentation jest użycie ID z przychodzącego webhooka, aby wysłać żądanie z powrotem do Stripe w celu uzyskania pełnych szczegółów wydarzenia.

Źródło

2013-10-17 03:34:00

Odpowiedz

Powiązane problemy