Braintree Dropin UI 不适用于 Ionic 框架，除非强制刷新

Posted 2023-02-22

【中文标题】Braintree Dropin UI 不适用于 Ionic 框架，除非强制刷新

【英文标题】：Braintree Dropin UI does not work with Ionic Framework unless force refresh

【发布时间】：2015-12-08 11:58:04

【问题描述】：

我在 Ionic 框架中遇到了 Braintree dropin UI 的一个非常奇怪的行为。

所以我使用了解决方案：Can't create Braintree client token with customer ID 为第一次和回头客创建逻辑。

$http(
          method: 'POST',
          url: 'http://localhost:3000/api/v1/token',
          data: 
            customerId: braintreeReturnCustomerId
          
        )

当我在客户端视图中传递 customerId 时。在我的 nodejs 服务器中，我有一个逻辑来检查 customerId 是否未定义。如果未定义，则为首次客户。如果 customerId 有值，则返回客户。像这样非常直截了当：

app.post('/api/v1/token', jsonParser, function (request, response) 

var customerId = request.body.customerId;

 if (customerId == undefined) 

   gateway.clientToken.generate(, function (err, res) 
    if (err) throw err;
     response.json(
      "client_token": res.clientToken
    );
  );
   else 
    console.log ("using exsiting customer!");
    gateway.clientToken.generate(
        customerId: customerId
    , function (err, res) 
    if (err) throw err;
    response.json(
      "client_token": res.clientToken
     );
   );
 


 );

我的客户处于离子视图中。因此，当我第一次付款时，它知道这是第一次用户，然后为我生成 customerId 并将其存储在我的数据库中。都好。然后不刷新（因为 Ionic 应用程序在状态更改时不刷新），我进入不同的状态并返回付款状态，它不显示商店信用卡。甚至我的服务器也记录了 customerId，我确信服务器代码正在运行带有 gateway.clientToken.generate(customerId: customerId ...

的“else”部分

如果我像使用一样在视图中强制刷新

$window.location.reload(true);

在第一次付款成功后或者我只是在我的 chrome 浏览器中手动刷新页面（就像我在 Ionic Serve 中一样），付款 Dropin UI 页面将显示第一次付款时的商店信用卡。

我尝试禁用视图缓存，例如“cache: false”。但这无济于事。我必须强制刷新才能使 Dropin UI 第二次工作。我认为是 dropin UI 中的 javascript 代码导致了这个问题，但我不知道如何解决它......

【参考方案1】：

_{全面披露：我在 Braintree 工作。如果您还有任何问题，请随时联系support。}

您发布的方法非常不安全，因为它容易受到Insecure Direct Object Reference (OWASP Top 10) 的攻击，并且很容易导致恶意用户跨用户收费。您基本上允许任何用户使用您的服务器为任何客户生成客户端令牌。

相反，您应该只在服务器上生成令牌，以避免用户代理选择另一个用户的 id。然后根据用户的凭据登录提供客户 ID，并且不允许他们传入要在 clientToken 生成期间使用的参数。有many guides online on how to build authentication。但是一旦你在服务器上创建了用户，你就可以：

if (userSession == undefined) 
    //or force login if you want them to sign up for your site before buying things
    gateway.clientToken.generate(, function (err, res) 
        if (err) throw err;
        response.json(
            "client_token": res.clientToken
        );
    );
 else 
    console.log ("using exsiting customer!");
    gateway.clientToken.generate(
        customerId: userSession.user.BraintreeId
    , function (err, res) 
        if (err) throw err;
        response.json(
            "client_token": res.clientToken
        );
    );

无论您做什么，都不要在生产中按原样使用此代码。在您重建以修复此漏洞之前，我不建议调试前端，因为方法将完全不同。但是，如果你再次回到这个问题，看起来可能有an open issue related this behavior。

【讨论】：

哇。感谢您指出这个问题。但我不做任何服务器端身份验证 b/c 我使用 Firebase。这是我解决此问题的解决方案：***.com/questions/32573992/…您能否告诉我这种 Firebase 方法是否符合 OWASP 标准？

@HughHou，虽然我没有使用 Firebase 的经验，但引入受信任的第三方来执行身份验证/ID 生成类似于让您自己的服务器生成/存储这些信息。我无法评论您的具体实施，但通常这是避免客户生成/伪造客户 ID 的一个不错的方向。