AJAX http请求和squarespace购物车

Question

我在一个 Squarespace 网站上工作，该网站不允许任何服务器端脚本。所以我只能使用 javascript，但我需要在将产品提交给支付处理器之前使用来自 3rd 方应用程序的税务信息更新购买，然后将有关交易响应的信息发送到税务应用程序。

支付处理器和税务处理器都有不错的 api。如果您有权访问后端，以下是有关如何执行此操作的文档：http://dev.taxcloud.net/2013/10/03/taxcloud-js_stripe/。所以基本上，我需要弄清楚如何对这个 php 脚本进行逆向工程，以便用 javascript 处理，同时尽可能不触发跨站点脚本警告。

另外，有没有办法安全地存储 API 密钥。如果我使用 javascript http 请求，则必须拔出密钥，对吗？我不想让每个客户都可以访问密钥。

无论如何，我只想：

-确保这是可能的。

-确保这不是严重的安全漏洞。

-看看你们能不能给我任何关于从哪里开始和需要注意的安全事项的线索

Answer 1

据我所知，squarespace 不支持 CORS，因此除了 jsonp 之外没有很多替代方案。当然存在一些安全问题，但只要您保留所有内容 ssl 并将您的 php 服务器脚本与对您存储用户信息或网页的任何域的访问隔离开来就可以了。

1. 确保您在 squarespace 网站的标题中强制使用 https。
2. 在您自己创建的 squarespace 页面上编写一个 javascript 脚本，获取请求变量 zipcode、amount 等，然后向您自己的服务器 (https) 上的 php 函数发出 jsonp 请求。
3. 您的密钥应该在脚本中的服务器上，php 函数将调用第 3 方 api，获取税务信息并在您的函数回调中将其返回到 squarespace 站点。

这是一个例子：Simple jQuery, PHP and JSONP example?

Answer 2

可能：您是否可以访问 squarespace 之外的任何安全（启用 SSL）服务器，您可以将其配置为允许 CORS 对请求进行服务器端预处理？