Payment Handler API के लिए CSP Connect-src ज़रूरी है

Eiji Kitamura
Rouslan Solomakhin
Rouslan Solomakhin
GitHub

पेमेंट हैंडलर एपीआई इसकी मदद से, पेमेंट की सेवा देने वाली कंपनियां अपनी पसंद के मुताबिक पेमेंट की सुविधा उपलब्ध कराती हैं व्यापारियों/कंपनियों/कारोबारियों और पेमेंट रिक्वेस्ट एपीआई के साथ.

इस पेज पर दी गई जानकारी सिर्फ़ उन वेबसाइटों पर लागू होती है जो सीएसपी (कॉन्टेंट-सुरक्षा-नीति), दोनों का इस्तेमाल करती हैं और पेमेंट रिक्वेस्ट एपीआई को भी शामिल कर सकते हैं. यदि आप दोनों में से किसी एक का उपयोग करते है या फिर दोनों में से किसी एक का उपयोग करते हैं तो इन निर्देशों को छोड़कर आगे बढ़ सकते हैं.

यह जानने के लिए कि आपको पेमेंट की सेवा देने वाली कंपनी, पेमेंट हैंडलर एपीआई का इस्तेमाल कर रही है या नहीं, उनसे संपर्क करें और उनके निर्देशों का पालन करें.

यदि आप बेहतर सुरक्षा देता है, तो आपको यह पक्का करना होगा कि ब्राउज़र को सीएसपी हेडर के connect-src डायरेक्टिव में जोड़ा गया है.

उदाहरण के लिए, अगर आपके JavaScript कोड से new PaymentRequest([{supportedOrigins: ‘https://example.com/pay’}], details) शुरू होता है, तो आपके सीएसपी connect-src में https://example.com या https://example.com/pay:

Content-Security-Policy: connect-src https://example.com/pay

अगर https://example.com/pay एक क्रॉस-ऑरिजिन रीडायरेक्ट है, तो डेस्टिनेशन ऑरिजिन को सीएसपी में भी शामिल किया जाना चाहिए. उदाहरण के लिए, अगर https://example.com/pay, https://pay.example.com पर रीडायरेक्ट करता है. इसके बाद, दोनों पर रीडायरेक्ट किया जाता है ऑरिजिन को सीएसपी में शामिल किया जाना चाहिए:

Content-Security-Policy: connect-src https://example.com/pay https://pay.example.com

इसे स्थानीय तौर पर आज़माएं

सुविधा को शिप करने से पहले, स्थानीय तौर पर चालू करने के लिए:

  1. Chrome में chrome://flags/#web-payment-api-csp पर जाएं.
  2. "वेब पेमेंट एपीआई के लिए सीएसपी नीति" बदलें "डिफ़ॉल्ट" से पर सेट करें.
  3. Chrome को रीस्टार्ट करें.

अनुरोध किए गए यूआरएल की जांच करें

पेमेंट हैंडलर एपीआई से भेजे गए अनुरोधों के यूआरएल देखने के लिए:

  1. chrome://flags/#web-payment-api-csp चालू करें.
  2. अपने चेकआउट पेज पर जाएं और Chrome के डेवलपर टूल खोलें.
  3. गड़बड़ी के इस तरह के मैसेज देखें: text RangeError: Failed to construct 'PaymentRequest': https://example.com/pay payment method identifier violates Content Security Policy. अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
  4. अपने सीएसपी में, चुना गया तरीका आइडेंटिफ़ायर जोड़ें.

Unस्प्लैश पर एडुआर्डो सोआरेस की फ़ोटो