javascript - AJAX http请求和squarespace购物车

Question

我在 Squarespace 网站上工作，该网站不允许任何服务器端脚本编写。所以我只能使用 javascript，但我需要在将产品提交给支付处理器之前使用来自第三方应用程序的税务信息更新购买，然后将有关交易响应的信息发送给税务应用程序。

支付处理器和税务处理器都有不错的 API。如果您有权访问后端，以下是有关如何执行此操作的文档:http://dev.taxcloud.net/2013/10/03/taxcloud-js_stripe/ .所以基本上，我需要弄清楚如何逆向工程此 php 脚本以使用 javascript 处理，同时尽可能不触发跨站点脚本警告。

另外，有没有办法安全地存储 API key 。如果我使用 javascript http 请求，它必须提取 key ，对吗？我不想让每个客户都能访问 key 。

无论如何，我只想:

-确保这是可能的。

-确保这不是对安全的严重破坏。

-看看你们能不能给我任何关于从哪里开始和需要注意的安全事项的线索

Answer 1

据我所知，squarespace 不支持 CORS，因此除了 jsonp 之外没有太多替代方案。当然存在一些安全问题，但只要您保留一切 ssl 并将您的 php 服务器脚本与对您存储用户信息或网页的任何域的访问隔离开来，就应该没问题。

1. 确保您已在您的 Squarespace 网站的 header 中强制使用 https。
2. 在您自己创建的 squarespace 页面上编写一个 javascript 脚本，该脚本获取请求变量邮政编码、金额等，然后对您自己的服务器 (https) 上的 php 函数执行 jsonp 请求。
3. 您的 key 应该在脚本中的服务器上，php 函数将调用第 3 方 api，获取税务信息并在您的函数回调中将其返回到 squarespace 站点。

这是一个例子:Simple jQuery, PHP and JSONP example?