将条带客户端意图机密传递给Javascript

我需要将Stripe客户端意图机密传递给Javascript以执行一些代码。我现在就这样展示。但这可能不是一种非常安全的信息传递方式

<input type="hidden" id="intent_data_client_secret" value="{{ $intent_data_client_secret }}">

根据此处链接的条带文档：

客户机密可用于使用完成支付过程 PaymentIntent上指定的金额。它不应该被记录， 嵌入URL，或向客户以外的任何人公开。制作 确保在包含客户端的任何页面上启用了TLS 秘密

---

有哪些更好的方法可以将安全令牌传递给javascript？

这实际上是一种很好的方法，您可以在

模板：

<button id="card-button" data-secret="{{ client_secret }}">
  Submit Payment
</button>

app.get('/checkout', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.render('checkout', { client_secret: intent.client_secret });
});

var response = fetch('/secret').then(...)

app.get('/secret', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.json({client_secret: intent.client_secret});
});

另一种选择是“单页应用程序”选项卡下的同一指南中的内容，向您自己的后端/api发出客户端请求，以检索支付意图或结帐会话的秘密：

客户端：

<button id="card-button" data-secret="{{ client_secret }}">
  Submit Payment
</button>

app.get('/checkout', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.render('checkout', { client_secret: intent.client_secret });
});

var response = fetch('/secret').then(...)

app.get('/secret', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.json({client_secret: intent.client_secret});
});

服务器：

<button id="card-button" data-secret="{{ client_secret }}">
  Submit Payment
</button>

app.get('/checkout', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.render('checkout', { client_secret: intent.client_secret });
});

var response = fetch('/secret').then(...)

app.get('/secret', async (req, res) => {
  const intent = // ... Fetch or create the PaymentIntent
  res.json({client_secret: intent.client_secret});
});

---

谢谢，这很有道理