私はストライプ支払いのためにstripe.jsを使用しています。ストライプからリクエストを受け取るためにコールバックwenhookをセットアップする必要があります。
ウェブフックはストライプで投稿されているので、私はそれを csrf_excempt
.
- この見解を作ることにリスクはありますか?
csrf_excempt
? - このビューでcsrf保護が必要な場合、どのようにしてストライプからcsrfトークンを渡して戻すことができますか?
回答:
回答№1は5それはうまくいきません。ストライプからのコールバックのためには、間違いなくcsrfを無効にしてください。
たとえあなたが..
- その
csrf_token
ストライプする - あなたのコールバックURLに同じトークンを返すようにストライプを取得する方法を見つけました
トークンはあなたの現在のブラウザセッション(通常はクッキー)用であるため、その時点でトークンは無関係です。
CSRFトークンは、リクエストごとに生成され、ブラウザに送信されてクッキーに格納されます。ストライプはこのクッキーを持たないので、まったく同じCSRFエラーが発生します。
回答№2の場合は1
あなたはまた、 ジャンゴストライプ支払い 将来は。
回答№3の場合は0
受け入れられた答えによれば、ストリーミングコールバックでCSRFトークンを使用する方法はありません。
セキュリティのための推奨されるアプローチは、 ストライプWebhookドキュメント 受信したウェブフックのIDを使用して、完全なイベントの詳細についてストライプに要求を送信することです。