Javascript与支付安全性

Question

我使用的是第三方CRM应用程序，它允许您使用拖放小部件和添加javascript代码来操作这些小部件来构建web表单。

我需要建立一个表单来使用另一个第三方支付网关进行支付。

基本程序如下：

• 客户在表单上选择产品。
• 我使用内联javascript来计算总成本。
• 客户提交表单，该表单生成案例参考编号。
• 在提交事件时，我使用javascript使用支付门方式api创建支付篮，在成功创建时，我将用户重定向到支付网关进行支付。

我的问题是，当我使用支付网关api创建支付篮时，我使用javascript发送json有效负载，包括支付总额。例如：

var total = 100;
var ref = 123456;

$.ajax({
  url: 'paymentgatewaycreatebasketurl',
  dataType: 'json',
  type: 'post',
  contentType: 'application/json',
  data: JSON.stringify( { "Ref": ref, "PaymentAmount": total, "Quantity": 1, ... } ),
  processData: false,
  success: function( data, textStatus, jQxhr ){
    // redirect user to paymentgateway payment page using returned token and basket ref.
  },
  error: function( jqXhr, textStatus, errorThrown ){
    console.log( errorThrown );
  }
 });

恶意用户是否有可能编辑javascript并更改总量，例如使用chrome工具等？

这样做意味着什么?是否有一种更安全的方法来阻止用户编辑支付总额？

由于CRM产品的限制，我无法在服务器端定义总数，因此必须使用javascript来完成。

Answer 1

恶意用户是否有可能编辑javascript并更改总量，例如使用chrome工具等？

当然-或者只是写自己的客户端发布到您的API。

这样做意味着什么？

如果你以零成本把所有的产品都送出去，你的生意就会惨败。

是否有更安全的方法来阻止用户编辑支付总额？

如果你在客户身上这么做的话。

由于CRM产品的限制，我无法在服务器端定义总数。

您的"CRM产品“不适合使用--买一个新的(或者更有可能的是，您不知道如何使用您的CRM)。