ストライプの支払いにstripe.jsを使用しています。ストライプからリクエストを受け取るためにコールバックwenhookをセットアップする必要があります。csrfトークンをストライプに渡す
webhookはストライプで投稿されているので、私はcsrf_excempt
とマークしています。
- このビューを作成する際にリスクがありますか。
csrf_excempt
? - このビューでcsrf保護が必要な場合、どのようにしてcsrfトークンをストライプから渡して戻すことができますか?
ストライプの支払いにstripe.jsを使用しています。ストライプからリクエストを受け取るためにコールバックwenhookをセットアップする必要があります。csrfトークンをストライプに渡す
webhookはストライプで投稿されているので、私はcsrf_excempt
とマークしています。
csrf_excempt
?これはうまくいかないでしょう。間違いなく、Stripeからのコールバックに対してcsrfを無効にしてください。
トークンは無関係だろう
csrf_token
を通過したとしても..あなた場合 トークンは現在のブラウザセッションのみ(通常はCookie)のものです。
CSRFトークンは、リクエストごとに生成され、ブラウザに送信されてクッキーに格納されます。 StripeはこのCookieを持たないので、まったく同じCSRFエラーが発生します。
将来的にはdjango-stripe-paymentsを使用することも考えられます。
答えによれば、ストリーミングコールバックでCSRFトークンを使用する方法はありません。
Stripe Webhook Documentationのセキュリティの推奨アプローチは、受信したウェブフックのIDを使用して、完全なイベントの詳細についてストライプに要求を送信することです。
これは、まさにCSRFトークンが防止するためのものです。 –
こちらをご覧ください(http://bryanhelmig.com/20-minutes-with-stripe-and-django/) – Mounir
@Mounir:これはstripe.jsを使用していません。データを当社のサーバーに送信します。 PCIコンプライアンスの面倒が多すぎます。 – shabda