Существует ли проблема безопасности, связанная с хранением clientSecret API-интерфейса Stripe PaymentIntent в виде открытого текста на стороне клиента HTML? Я новичок в веб-разработке и интегрировал Stripe PaymentIntent API, следуя этому руководству: https://stripe.com/docs/payments/accept-a-payment. К сожалению, у них не было руководства, которое было Django определено c. Путеводитель был для flask. Я изо всех сил импровизировал, но мне не хотелось делать go из-за проблем с созданием конкретной конечной точки c для передачи clientsecret PaymentIntent. Вместо этого я определил переменную clientSecret, которую храню в виде открытого текста на стороне клиента через {{ clientsecret}}
. В качестве фона я использую Django 3.0 с django -oscar 2 и python 3.6.
В руководстве по полосе указано: "The client secret should still be handled carefully because it can complete the charge. Do not log it, embed it in URLs, or expose it to anyone but the customer."
Я не верю, что делаю это, но боюсь, что, определяя его как переменную, которую веб-страница задает как Django, есть некоторые своего рода ведение журнала. Я использую https, поэтому я считаю, что есть некоторые ограничения на доступное содержимое веб-страницы, и оно определенно не отображается в самом URL.
Дайте мне знать, что вы думаете, ребята, а не пытаетесь потерять чьи-то деньги!