我正在使用stripe.js進行條帶支付。我需要設置一個回調wenhook來接收來自條帶的請求。將csrf標記傳遞給條帶
由於webhook是通過條帶發佈的 - 我已將其標記爲csrf_excempt
。
- 製作此視圖是否有任何風險
csrf_excempt
? - 如果我在這個視圖上應該有csrf保護,我該如何通過並從條帶中獲取csrf標記?
我正在使用stripe.js進行條帶支付。我需要設置一個回調wenhook來接收來自條帶的請求。將csrf標記傳遞給條帶
由於webhook是通過條帶發佈的 - 我已將其標記爲csrf_excempt
。
csrf_excempt
?這不起作用。絕對禁用來自Stripe的回調的csrf。
即使你..
csrf_token
以條紋令牌就與此無關在這一點上,因爲令牌只適用於您當前的瀏覽器會話(通常是cookie)。
CSRF令牌根據每個請求生成併發送到瀏覽器以存儲在cookie中。 Stripe不會有這個cookie,因此你會得到一個CSRF錯誤。
您可能還會考慮將來只使用django-stripe-payments。
由於接受的答案表示無法使用帶條帶回調的CSRF令牌。
Stripe Webhook Documentation中推薦的安全方法是使用傳入webhook中的ID將請求發送回Stripe以獲取完整的事件詳細信息。
這正是CSRF令牌的目的所在。 –
看看[這裏](http://bryanhelmig.com/20-minutes-with-stripe-and-django/) – Mounir
@Mounir:這不使用stripe.js - 我們不想發佈數據到我們的服務器。太多的PCI合規性麻煩。 – shabda