È necessario inviare alcuni dati CC dalla vista al controller in cui verrà elaborato, posso semplicemente inviarlo o esiste un modo comune per proteggere i dati in transito?È sicuro trasferire i dati della carta di credito POST da Visualizza a Controller?
risposta
Inviare i dati utilizzando SSL.
Ecco uno good resource on setting up SSL with IIS and ASP.NET.
Non ho letto sull'implementazione di ASP.net-MVC. Tuttavia, credo che tu abbia mescolato la terminologia.
Il modello MVC verrà valutato sul lato server. [Quindi c'è poca necessità di fare controlli di sicurezza tra i componenti (a meno che non siano esposti al di fuori del programma)]
Credo che molte persone abbiano l'impressione che si stia parlando di POSTI HTTP dopo l'invio di un modulo (al contrario di HTTP GET)
Pubblicare con SSL come Rex M menzionato è sicuramente il primo passo. Probabilmente dovresti creare la pagina in cui stanno digitando anche il loro numero di carta di credito SSL. Questo darà ai tuoi utenti l'URL verde di comfort.
È inoltre necessario includere la protezione contro gli attacchi CSRF. Usa il token anti-contraffazione.
Inoltre, è necessario utilizzare PRG (Post, Redirect, Get) pattern per assicurarsi che i numeri di carta di credito non vengano inviati due volte. Dopo il post, non solo eseguire il rendering di una vista diversa, inviare un reindirizzamento in modo che il browser esegua un GET contro un altro URL, probabilmente la pagina di conferma.
Potrai esegue in un paio di cose specifiche ASP.NET MVC:
Se si dispone di alcune pagine http e https alcune pagine, come farà a codificare il link alle pagine https dalle pagine http . Puoi codificarli con difficoltà, ma dovrai codificare il dominio e il protocollo. Non si può semplicemente utilizzare <% = Html.ActionLink (... vedere questo SO question per maggiori dettagli.
Ti consigliamo per assicurarsi che non si può colpire i controller quando non si utilizza SSL. Questa .. vi aiuterà a rilevare eventuali errori, e garantire che nessuno usa http invece di https Vedere l'attributo [requireSSL] nei futures di assemblaggio Ecco un post su di esso da Adam Salvo
- 1. Verifica della carta di credito con regex?
- 2. Input corretto Tipo di carta di credito
- 3. Come impedire a Chrome di richiedere il salvataggio dei dati della carta di credito
- 4. Forzare PayPal per richiedere sempre i dati della carta di credito invece del modulo di accesso?
- 5. Salvataggio delle informazioni della carta di credito nel database MySQL?
- 6. Nome della banca dai dettagli della carta di credito?
- 7. alternativa a memorizzare informazioni di carta di credito
- 8. Carta di credito - Card on file services?
- 9. Dettagli carta di credito in Magento
- 10. ASP.NET MVC - Archiviazione temporanea sicura dei dati della carta di credito
- 11. Data di scadenza della carta di credito - Inclusa o esclusiva?
- 12. Test numero di carta di credito Regex
- 13. È sicuro un POST da HTTP a HTTPS?
- 14. Memorizzazione delle informazioni sulla carta di credito
- 15. Come ottenere il saldo della carta di credito?
- 16. DirectX11: trasferire i dati da ComputeShader a VertexShader?
- 17. PayPal Checkout - scheda di carta di credito per default
- 18. Pagamenti con carta di credito nell'app
- 19. Ingresso carta di credito spunta da banda magnetica
- 20. Modo più sicuro per passare il numero della carta di credito attraverso un modulo a più fasi?
- 21. Come ricevere i pagamenti con carta di credito?
- 22. Lettura dei dati della carta di credito Visa payWave via NFC su Android
- 23. Non è stato attivato il riempimento automatico della carta di credito di Chrome
- 24. Soluzioni di pagamento con carta di credito per applicazioni desktop
- 25. Come trasferire in modo sicuro alcuni dati da un server a un dispositivo Android
- 26. Formato numeri di telefono e carta di credito in AngularJS
- 27. Cuffie Telefono Jack Carta di credito Scorri con Browser App
- 28. Accettare pagamento con carta di credito nell'app per iPhone
- 29. Come passare in sicurezza le informazioni della carta di credito tra le pagine in PHP
- 30. È possibile effettuare pagamenti con carta di credito da un server heroku utilizzando activemerchant?
significa che significa solo che specifica https: // all'interno dell'URL che sto scrivendo (assumendo che SSL cert sia installato su IIS) – BigOmega
@Ryan dovresti caricare il modulo anche sotto https e postare nello stesso protocollo. –
@Ryan - H TTP è un protocollo in chiaro ... tutto ciò che fai con esso può essere intercettato su qualsiasi nodo che passa attraverso Internet. HTTPS è l'unica soluzione sicura. – womp