成功购买后如何阻止 Stripe 覆盖客户端的会话 cookie

2024-01-31

环境：快速、快速会话、Stripe

在下面的简化示例中，当用户请求主页时express-session为用户分配一个会话 cookie。刷新页面会保留与访问成功或失败路由相同的会话 ID。单击升级按钮会将客户端带到 Stripe 购物车屏幕，该屏幕也保留相同的会话 ID。然而，一旦用户进入 Stripe 购物车并成功购买，他就会被转发到成功路线，并且会话 ID 会被 Stripe 覆盖。在完整版本中，这是一个问题，因为用户将登录，这会导致用户在成功购买后自动注销。我不确定为什么会发生这种情况或如何阻止它。

app.js

const bodyParser = require('body-parser');
require('dotenv').config();
const express = require('express');
const session = require('express-session');
const stripe = require('stripe')(process.env.STRIPE_SECRET_KEY);

const app = express();

app.set('view engine', 'ejs');

app.use(express.static('views'));

app.use(
    session({
        maxAge: 24 * 60 * 60 * 1000,
        name: 'randomName',
        resave: false,
        saveUninitialized: true,
        secret: 'randomSecret',
        cookie: {
            sameSite: true,
            secure: false
        } 
    })
);

app.get('/', function(req, res) {

    req.session.userValues = true;
    console.log(req.session);

    res.render('index', { stripePublicKey: process.env.STRIPE_PUBLIC_KEY });
});

app.get('/success', function(req, res) {

    console.log(req.session);

    res.render('success');
});    

app.get('/fail', function(req, res) {

    console.log(req.session);

    res.render('fail');
});

app.post('/create-checkout-session', bodyParser.raw({ type: 'application/json' }), async function(req, res) {

    console.log(req.session);

    const session = await stripe.checkout.sessions.create({
        submit_type: 'auto',
        payment_method_types: ['card'],
        line_items: [
            {
                price_data: {
                    currency: 'usd',
                    product_data: {
                        name: 'name of product',
                        description: 'description of product'
                    },
                    unit_amount: 100
                },
                quantity: 1,
            }
        ],
        locale: 'en',
        mode: 'payment',
        success_url: 'http://localhost:8080/success',
        cancel_url: 'http://localhost:8080/fail'
    });

    res.json({ id: session.id });
});    

app.listen(8080, function() {
    console.log('listening on port 8080');
});

index.js

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Upgrade</title>
    <script>var stripePublicKey = '<%- stripePublicKey %>';</script>
    <script defer src="https://js.stripe.com/v3/"></script>
    <script defer src="checkout.js"></script>
</head>
<body>
    
    <button id="checkout-button">upgrade premium</button>

</body>
</html>

结账.js

var stripe = Stripe(stripePublicKey);

var checkoutButton = document.getElementById('checkout-button');

checkoutButton.addEventListener('click', checkoutSequence);

function checkoutSequence() {

    fetch('/create-checkout-session', {
        method: 'POST',
    })
    .then(function(response) {
        return response.json();
    })
    .then(function(session) {
        console.log(session);
        return stripe.redirectToCheckout({ sessionId: session.id });
    })
    .then(function(result) {
        if (result.error) {
            alert(result.error.message);
        }
    })
    .catch(function(error) {
        console.error('Error:', error);
    });
}

经过6个小时的测试，我发现了问题所在。cookie.sameSite必须设置为lax代替true。显然，当 Stripe 走上成功之路时express-session确定这是来自外部站点并重置 cookie。

app.use(
    session({
        maxAge: 24 * 60 * 60 * 1000,
        name: 'randomName',
        resave: false,
        saveUninitialized: true,
        secret: 'randomSecret',
        cookie: {
            sameSite: 'lax',
            secure: false
        } 
    })
);

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

成功购买后如何阻止 Stripe 覆盖客户端的会话 cookie 的相关文章

如何使用 std::string 将所有出现的一个字符替换为两个字符？

有没有一种简单的方法来替换所有出现的 in a std string with 转义 a 中的所有斜杠std string 完成此操作的最简单方法可能是boost字符串算法库 http www boost org doc libs 1 46
AWS ElasticSearch Service - 从 CF 模板设置加密选项

我正在创建一个云形成模板来在AWS中配置elasticsearch服务域我想将加密下的此属性设置为 true 域的所有流量都需要 HTTPS 但我无法在 AWS 文档中找到执行此操作的方法用于设置加密属性的其他选项例如启用静态数据加
ASP.NET MVC 6 (ASP.NET 5) 中的 Application_PreSendRequestHeaders 和 Application_BeginRequest

如何在 ASP NET 5 MVC6 中使用这些方法在 MVC5 中我在 Global asax 中使用了它现在呢也许是入门班 protected void Application PreSendRequestHeaders obj
根据 GLSL 中向量的特定分量执行最小-最大的最快方法？

我需要在我的 GLSL 代码中多次调用这种函数 vec2 minx vec2 a vec2 b if a x lt b x return a else return b 我担心过度分支有没有办法避免 if else 结构我建议使用 GL
Java、Spring、Hibernate找不到org.springframework.orm.hibernate3.LocalSessionFactoryBean

我正在尝试制作 spring hibernate ant 项目目前我收到此错误 HTTP Status 500 type Exception report message description The server encountere
C 中的异或运算符

在进行按位操作时我在确定何时使用 XOR 运算符时遇到一些困难按位与和或非常简单当您想要屏蔽位时请使用按位 AND 常见用例是 IP 寻址和子网掩码当您想要打开位时请使用包含或然而 XOR 总是让我明白我觉得如果在面试中被问
如何在 C++ BOOST 中像图形一样加载 TIFF 图像

我想要加载一个 tiff 图像带有带有浮点值的像素的 GEOTIFF 例如 boost C 中的图形我是 C 的新手我的目标是使用从源 A 到目标 B 的双向 Dijkstra 来获得更高的性能 Boost GIL load tiif
如何在 Jquery/Javascript 中绑定模糊和更改，但只触发一次函数？

我试图在选择元素更改时触发函数由于 Ipad 在 on change 方面遇到问题我还想绑定到 blur 这在 Ipad 上工作得很好但是我不希望两个事件都触发该函数两次所以我需要某种挂钩来确保两个事件是否都触发change and
使用 z = f(x, y) 形式的 B 样条方法来拟合 z = f(x)

作为一个潜在的解决方案这个问题 https stackoverflow com questions 76476327 how to avoid creating many binary switching variables in gekk
jolt变换后json对象的排序

Input The input json object 所需输出 Event1 Value1 Event2 collection of json objects Event3 The input json object 所以基本上输入 js
张量流中的复杂卷积

我正在尝试运行一个简单的卷积但包含复数 r np random random 1 10 10 10 i np random random 1 10 10 10 x tf complex r i conv layer tf layers c
Kivy - 单击按钮时编辑标签

我希望 Button1 在单击时编辑标签 etykietka 但我不知道如何操作你有什么想法吗 class Zastepstwa App def build self lista WebOps getList layout BoxLayo
CGImage/UIImage 在 UI 线程上延迟加载会导致卡顿

我的程序显示一个水平滚动表面从左到右平铺有 UIImageViews 代码在 UI 线程上运行以确保新可见的 UIImageView 分配有新加载的 UIImage 加载发生在后台线程上一切工作几乎都很好除了每个图像变得可见时出现口
使用 AppleScript 运行另一个应用程序而不将其显示在扩展坞上

使用 AppleScript 您可以创建运行另一个应用程序的脚本然后将该脚本本身另存为应用程序并将其放置在 Dock 中问题不是真正的问题是当您单击它时它仍然会在扩展坞上显示其他应用程序是否可以阻止其他应用程序在扩展坞中显示
防止索引超出范围错误

我想编写对某些条件的检查而不必使用 try catch 并且我想避免出现 Index Out of Range 错误的可能性 if array Element 0 Object Length gt 0 array Element 1 Ob
如何在 PHP 中从字符串类名实例化？ [关闭]

Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案如何创建返回方法名称的新实例不幸的是我收到这个错误错误类名必须是有效的对象或字符串这是我的代码 class Foo public f
Git 提交失败：“请使用 -m 或 -F 选项提供消息。”

当我键入 git commit 命令来提交文件时我收到以下错误消息 Microsoft Visual Studio 微软找不到命令错误核心编辑器 Microsoft Visual Studio 存在问题请使用 m 或 F 选项提供
使用 libcurl 检查 SFTP 站点上是否存在文件

我使用 C 和 libcurl 进行 SFTP FTPS 传输在上传文件之前我需要检查文件是否存在而不实际下载它如果该文件不存在我会遇到以下问题 set up curlhandle for the public private ke
恢复上传文件控制

我确实阅读了以下帖子 C 暂停恢复上传 https stackoverflow com questions 1048330 pause resume upload in c 使用 HTTP 恢复上传 https stackoverflow
为什么使用 iPhone 或 iOS 设备在“iframe”中查看“position:fixed”时不起作用？

我研究过 stackoverflow 似乎position fixed在 iOS 移动设备的 iframe 中 https stackoverflow com questions 15874910 position fixed and if

随机推荐

C++ 中访问器方法（getter 和 setter）的约定

关于 C 中的访问器方法的几个问题已经在 SO 上被问到了但没有一个能够满足我对此问题的好奇心我尽可能避免访问器因为像 Stroustrup 和其他著名程序员一样我认为一个类中有很多访问器是糟糕的 OO 的标志在 C 中在大多数
使用 Promise 作为回调来反应 setState [重复]

这个问题在这里已经有答案了我在 React 中尝试使用 Promise 作为回调来 SetState 时收到错误这可能是由于我的错误造成的并且希望对 React 中的 set State 进行一些澄清我收到的错误消息如下错误作为
用户个人资料信息权限对话框中显示“未注册的 Android 应用程序”文本

我已将 Google 登录集成到我的应用程序中我每次都能成功登录但是当我在设备中添加新的谷歌帐户并尝试使用该帐户登录时我会看到附加的弹出对话框我不明白为什么它说未注册的 Android 应用程序在这种情况下如何注册应用程序附加
将链接附加到当前 url 的末尾

当我将 HTML 文件上传到我的网站时 a href 标签链接将链接中的 URL 附加到当前 URL 的末尾例如如果我的网站是example com并且index html文件被放置在example com test链接是google
如何在动态选择中使用表达式创建“内联 if 语句”以进行 null 检查

如何在动态选择中使用表达式创建内联 if 语句以进行 null 检查我为对象的嵌套属性编写了一个动态选择 LINQ 表达式但当它为 null 时它会引发异常所以我想检查该属性是否为空就这么简单这就是我的意思 X Where
golang 中“Mon Jan 2 15:04:05 MST 2006”的起源

在戈朗中文档 http golang org pkg time pkg constants 指出这些是在 Time Format 和 Time Parse 中使用的预定义布局布局中使用的参考时间是 Mon Jan 2 15 04 05
如何使用 PHP 在请求的图像中重复水印？

我正在尝试向目录中的所有图像添加水印例如 www example com private 其中一些图像具有很大的分辨率而其他图像则相对正常因此目前我的水印对于较小的图像效果很好即使将水印居中我仍然会留下较大图像的理想部分容易被裁
是否可以禁用 webpack 中某些文件的源映射？

我想隐藏部分代码以免在 chrome 开发工具中显示用webpack可以吗我想你可以创建一个身份加载器 http webpack github io docs how to write a loader html examples谁过
我的 CSS 有什么问题，将窗口大小调整为较小尺寸时元素会移动和重叠？

好的下面是我的 CSS 和 HTML 代码我一直在使用 div 的百分比以便这些 div 可以重新调整到更大的屏幕尺寸令人烦恼的是当我在计算机上将窗口大小调整为较小的尺寸时这些元素会不断移动直到它们重叠而我不希望出现这种情况
如何规范公司名称

我们有用户生成的各种不同形式的雇主名称例如人们输入或导入 Google谷歌公司谷歌公司谷歌公司通过数据库搜索这看起来像是一家不同的公司我们更改了一些内容将每个雇主映射到一个规范化名称但总共有 70 000 个雇主因此很难
错误 - 无法联系指定 URL 的站点。没有名为“*.asmx”的网站

我正在尝试使用以下命令从共享点网站读取所有文档文件夹和子文件夹Microsoft SharePoint Client dll 这是我为此使用的代码 static void Main string args string siteUrl ht
Go 中创建复杂结构层次结构的惯用方法是什么？

我正在用 Go 编写一个解释器并且正在寻找存储 AST 的惯用方式我阅读了 Go 编译器源代码似乎他们使用带有空方法的接口来表示 AST 例如我们有以下层次结构 Object Immovable Building Mountain
在不违反 MVVM 的情况下将集合绑定到 ListBox 中的 SelectedItems

我有一个名为的 ObservableCollection选定的VNode 并且它包含来自 ObservableCollection 的项目VNodes The 选定的VNode应该只包含其属性的节点IsSelected True 否则如果为
Django WSGI 部署。无法导入名称“SimpleCookie”

我正在尝试部署 Django 网站它按预期在开发服务器中运行在 cp 虚拟环境导入下运行 python 时也成功但在 Apache mod wsgi 下我得到了该站点的以下错误日志 Wed Jun 10 17 26 20 20423
在 using 语句中声明 2 个类型会出现编译错误吗？

我想使用这行代码 using ADataContext dc new ADataContext ConnectionString BDataContext dc2 new BrDataContext ConnectionString 这会产
Prolog：var、nonvar 和 ground 之间的区别

在Prolog中特别是在它的元编程方面人们经常谈论ground and 非接地变量以及使用谓词例如var 1 nonvar 1 and ground 1 但它们之间到底有什么区别呢我目前的理解如下 A var完全未实例化例如 X
想要查找 Rails 中没有关联记录的记录

考虑一个简单的关联 class Person has many friends end class Friend belongs to person end 让所有在 ARel 和或 meta where 中没有朋友的人最干净的方法是什么
python pandas 数据框中的定数值积分

我有一个列数可变的 pandas 数据框我想对数据帧的每一列进行数值积分以便我可以计算从第 0 行到第 n 行的定积分我有一个适用于一维数组的函数但是有没有更好的方法可以在 pandas 数据框中执行此操作以便我不必迭代列和单元格
如何获取 LLDB 中所有线程的回溯？

LLDB 相当于什么thread apply all bt in GDB LLDB对应的命令很简单bt all See https lldb llvm org use map html examining thread state http
成功购买后如何阻止 Stripe 覆盖客户端的会话 cookie

环境快速快速会话 Stripe 在下面的简化示例中当用户请求主页时express session为用户分配一个会话 cookie 刷新页面会保留与访问成功或失败路由相同的会话 ID 单击升级按钮会将客户端带到 Stripe 购物车屏幕

成功购买后如何阻止 Stripe 覆盖客户端的会话 cookie

成功购买后如何阻止 Stripe 覆盖客户端的会话 cookie 的相关文章

随机推荐

热门标签