不仅从不同的子域，而是从不同的域提供图像（安全）是不是符合 PCI 标准？

Posted 2023-02-22

【中文标题】不仅从不同的子域，而是从不同的域提供图像（安全）是不是符合 PCI 标准？

【英文标题】：Is it PCI-compliant to serve images (securely) from not just a different subdomain, but a different domain?不仅从不同的子域，而是从不同的域提供图像（安全）是否符合 PCI 标准？

【发布时间】：2011-07-02 04:45:45

【问题描述】：

从不同的域（安全地）提供图像是否符合 PCI 标准？我搜索了 PCI DSS 2.0 PDF 并没有找到任何对它的引用。

【参考方案1】：

我认为这些图片会与信用卡输入表单出现在同一页面上吗？如果是这样，只要它们是通过 SSL 呈现的，那么它们就不能被劫持并在它们的位置呈现额外的代码。

我想说的是，由于您的付款页面必须以 SSL 形式呈现给最终用户，因此无论域如何，都可以通过 SSL 提供图像，这将有助于您合规。

【讨论】：

我不是在这里投反对票的，但你的说法并不真实。 SSL 保护传输中的图像，并确保它们的内容不会被服务器和客户端之间的机器窥探。完全有可能破坏提供图像的网络服务器、中间的任何代理缓存、用户的缓存等。其中任何一个都将允许攻击者选择要渲染的图像。这种攻击的风险可能低于攻击同一页面上的脚本，但我只是想明确说明 SSL 不会/不/保护您免受黑客攻击，只是防止在传输过程中泄露数据。

【参考方案2】：

图像不符合 PCI 规定。 PCI DSS covers the storing, transmission, and processing of credit card information only。因此，您可以从任何您喜欢的服务器提供图像，而不会出现任何 PCI 问题。