miwei d7d91857c7 fix: Stripe 弹窗安全加固 + 清理未使用依赖 ...

安全修复:
- client_secret 和 publishableKey 不再通过 URL 传递，改用 postMessage
  弹窗发送 STRIPE_POPUP_READY 信号，父页面响应 STRIPE_POPUP_INIT 传递敏感数据
  校验 event.origin 防止跨域消息伪造
- confirmAlipayPayment 改为显式调用，移除动态方法查找
- handleStripeSubmit 中 returnUrl 清理残留 query params

依赖清理:
- 移除未使用的 @stripe/react-stripe-js

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

2026-03-04 15:27:51 +08:00

190 KiB

Raw Permalink Blame History

View Raw