È necessario inviare alcuni dati CC dalla vista al controller in cui verrà elaborato, posso semplicemente inviarlo o esiste un modo comune per proteggere i dati in transito?È sicuro trasferire i dati della carta di credito POST da Visualizza a Controller?
Inviare i dati utilizzando SSL.
Ecco uno good resource on setting up SSL with IIS and ASP.NET.
Non ho letto sull'implementazione di ASP.net-MVC. Tuttavia, credo che tu abbia mescolato la terminologia.
Il modello MVC verrà valutato sul lato server. [Quindi c'è poca necessità di fare controlli di sicurezza tra i componenti (a meno che non siano esposti al di fuori del programma)]
Credo che molte persone abbiano l'impressione che si stia parlando di POSTI HTTP dopo l'invio di un modulo (al contrario di HTTP GET)
Pubblicare con SSL come Rex M menzionato è sicuramente il primo passo. Probabilmente dovresti creare la pagina in cui stanno digitando anche il loro numero di carta di credito SSL. Questo darà ai tuoi utenti l'URL verde di comfort.
È inoltre necessario includere la protezione contro gli attacchi CSRF. Usa il token anti-contraffazione.
Inoltre, è necessario utilizzare PRG (Post, Redirect, Get) pattern per assicurarsi che i numeri di carta di credito non vengano inviati due volte. Dopo il post, non solo eseguire il rendering di una vista diversa, inviare un reindirizzamento in modo che il browser esegua un GET contro un altro URL, probabilmente la pagina di conferma.
Potrai esegue in un paio di cose specifiche ASP.NET MVC:
Se si dispone di alcune pagine http e https alcune pagine, come farà a codificare il link alle pagine https dalle pagine http . Puoi codificarli con difficoltà, ma dovrai codificare il dominio e il protocollo. Non si può semplicemente utilizzare <% = Html.ActionLink (... vedere questo SO question per maggiori dettagli.
Ti consigliamo per assicurarsi che non si può colpire i controller quando non si utilizza SSL. Questa .. vi aiuterà a rilevare eventuali errori, e garantire che nessuno usa http invece di https Vedere l'attributo [requireSSL] nei futures di assemblaggio Ecco un post su di esso da Adam Salvo
significa che significa solo che specifica https: // all'interno dell'URL che sto scrivendo (assumendo che SSL cert sia installato su IIS) – BigOmega
@Ryan dovresti caricare il modulo anche sotto https e postare nello stesso protocollo. –
@Ryan - H TTP è un protocollo in chiaro ... tutto ciò che fai con esso può essere intercettato su qualsiasi nodo che passa attraverso Internet. HTTPS è l'unica soluzione sicura. – womp