问我是否应该担心NoScripts的抗XSS警告时，作出一笔3D安全付款？

EN

三维安全是一种预防欺诈的系统：

3D安全的基于XML的协议被设计成在线信用卡和借记卡交易的附加安全层。它最初由Arcot系统公司开发，最初由Visa公司部署，目的是提高互联网支付的安全性，并以Visa验证的名称提供给客户。

你所关心的是：

NoScript通知我，它已经停止了一个潜在的不安全脚本。

这很可能不是真正的XSS攻击。

这种"XSS重定向“的发生是因为该网站上的支付页面正在将您重定向到一个支付网关。这是一个重定向，是的，它可以用来攻击你是的，但是！

1. 您应该检查您的网站上的网站上的绿色挂锁在您的网址购买。如果没有绿色挂锁，甚至不要输入您的详细信息。
2. 当您提交付款时，您可以看到它正在重定向您的位置，因为NoScript给了您一个警告。您是否验证了该URL属于3DSecure？
   • 除非攻击者能够访问您的计算机，并且能够修改NoScript插件以报告错误的URL，否则您应该没事。但是，如果攻击者能够访问您的计算机，则需要担心更大的问题。

请注意，在许多情况下，忽略XSS重定向(拒绝“不安全Reload")仍然允许支付给我。我不知道你正在访问的网站上是否存在这种情况。

潜在风险

作为一个客户，通过将商人添加到白名单中，我面临哪些风险？有人能偷我的信用卡资料吗？

这真的取决于每个网站的安全。

如果您使用https，并且证书是正确颁发的，那么中间人攻击是非常不可能的。

这些https证书将验证您是否在正确的网站上，同时加密到/fro的连接。但是，您的数据仅与处理它的两个网站一样安全。如果这两个网站都存在漏洞，即使证书是有效的，您的数据也有可能被窃取。

这是绝对有可能的，一个网站被黑，数据收集在内部，然后访问后。然而，大多数信用卡公司承诺零欺诈责任。你的吗？虽然这不会阻止你的个人信息泄露，但至少在发生泄露的情况下可以提供一些缓解措施。

我应该担心NoScript的反XSS警告吗？

那得看情况。所有东西都检查过了吗？绿色挂锁在你的地址栏？一般来说，没有必要担心。但是，如果其中一个网站被攻破了，那就没有.在这一点上你不能信任任何一个网站。

我不认为这在一般意义上是可以回答的--这可能是一个更多的评论，但太长了，不适合作为一个。它太依赖于商人的结构，银行，以及它们之间的关系。

例如，如果商家在购买时存储您的信用卡号码，并且存在XSS漏洞，攻击者可以从您确认CVV号码的页面读取数据，攻击者显然可以获得您的CVV号码。但是，如果商家是符合PCI的(他们应该是这样的)，攻击者就不能从这个漏洞中获取您的信用卡号码--商家永远不应该输出完整的信用卡号。但是，如果他们有XSS漏洞，允许他们监视卡输入屏幕上输入的数据，那么他们可能能够盗取您的卡号，即使它随后不会在站点上存储更长时间。

3 3DSecure并没有真正改变这一点，而是增加了一层验证，银行可以用它来说：“看，有人输入了你的3 3DSecure密码的字母，只有你知道，所以肯定是你输入的”。在某些方面，这实际上会导致进一步的问题--如果攻击者能够在商家支付系统中发现导致假3DSecure窗口弹出的漏洞，他们可能会让您输入密码中的字母，这对普通用户来说很难检测(如果用户没有URL栏.)。重要的是，3DSecure与计算机安全无关。是关于欺诈的。