Я никогда не создавал веб-приложение с платежами и решил попробовать создать его с помощью экспресс-оплаты Paypals для моего приложения Angular.
Я смотрю туда документацию , и они предлагают бросить тег <script id="paypal-checkout-script"src="https://www.paypalobjects.com/api/checkout.js"></script> и использовать глобальную переменную paypal , созданную из него, для реализации их API.
// will help render the paypal button in HTML when this code runs
paypal.Button.render({ ...
Итак, у меня есть компонент <paypal-button>, который будет использовать этот код позже, когда пользователь перейдет к представлению с ним позднее во время сеанса при посещении веб-сайта.
Хотя я чувствую, что что-то вредоносное может вставить другой тег script в HTML и сделать это до того, как мой компонент оценит объектную переменную paypal .
<script id="paypal-checkout-script" src="https://www.paypalobjects.com/api/checkout.js"></script>
<!-- another script tag below changing the paypal var -->
<script>
paypal = { Button: { render: 'evil' } };
</script>
Я не очень разбираюсь в безопасности в сети, но хотел бы уточнить, подходит ли эта практика?
- Должен ли я просто выполнить http-запрос в приложении и назначить его другой переменной, которая может вместо этого быть глобальной константой?
- Если я продолжу делать это таким образом, буду ли я отвечать за что-либо или есть определенный момент, когда он больше не отвечает за приложения (например, компьютер пользователя зомбирован / браузер взломан)
Любая обратная связь будет принята с благодарностью. :)