通过https的信用卡号码

Question

我有一种情况，信用卡号码是通过有线（HTTPS）从应用程序服务器发送到浏览器的。因此，查看付款页面的查看源将显示整个信用卡号码。

这真的是一个安全漏洞吗？由于数据是通过SSL发送的（整个流程在登录后是https并且所涉及的页面是流程中的第3或第4个页面），中间的人无法获取此信息。此外，我测试了会话端顶起（当用户使用http并尝试模拟时获取会话ID） - 应用程序足够智能以防止此攻击。

我在考虑添加一个安全的cookie，除了不通过电报发送整个信用卡号码，但是这是一个矫枉过正的？

Answer 1

正确实施的HTTPS（大多数浏览器都是，check your server）提供完整的端到端安全数据交付。在中间攻击中不会有人。

我们还假设您的网站是安全的跨网站脚本攻击。

不过，最好只显示最后四位数字。这是针对有人希望在公共场所做银行或购物或任何其他情况的情况。它可以防止那些窃取他们肩膀的人获取完整的帐号。

如果有人想要输入新的信用卡（注意你的背部），这仍然是一个问题，但是一旦你验证了它，几乎没有理由显示整个信用卡号码。让客户指定帐户名称，以防万一他们拥有多于一张相同的最后4位数字的卡片，并且易于使用。