Webサイトで決済サービスを使う際、思わぬセキュリティホールを作らないために、プログラミング、コーディングする際に注意した点をまとめました。手軽に利用できるようになってきた分、トラブルも増えてくるかしらと思い載せてみました。
APIキーを指定しているファイルは、外部からアクセスされない場所に置く。
フレームワーク等を利用して、ディレクトリ構成を理解していればまず問題ないかと思いますが念のため。
入力から決済完了まではhttps接続で行う。
言うまでもありませんが、テスト環境でも指定しましょう。
input text のautocompleteタグをOFFにする
オートコンプリートの情報からカード情報が抜かれることもあります。
<input autocomplete="off" id="cre_id" name="cre_id" maxlength="16" type="text" />
セッションデータが残っていないかどうかチェック
①入力画面→②確認画面→③更新処理→③完了
という流れの時に、①→②→③に渡すデータをセッションで持っている場合、
更新完了とともにセッションを必ずクリアしましょう。また、②の確認画面から①の入力画面に戻る際にも、セッションを消しましょう。タイムアウト設定も忘れずに。