クレジット カード番号がネットワーク (HTTPS) 経由でアプリケーション サーバーからブラウザーに送信されるシナリオがあります。したがって、支払いページのソースを表示すると、クレジット カード番号全体が表示されます。
これは本当にセキュリティ上の脆弱性ですか? データは SSL 経由で送信されるため (ログイン後のフロー全体が https で、問題のページはフローの 3 番目または 4 番目のページです)、中間者がこの情報を取得する方法はありません。また、セッション側のジャッキング (ユーザーが http を使用しているときにセッション ID を取得し、なりすましを試みる...) についてもテストしました。このアプリケーションは、この攻撃を防ぐのに十分なほどインテリジェントです。
クレジットカード番号全体をネットワーク経由で送信しないことに加えて、安全なCookieを追加するという行で考えていましたが、それはやり過ぎですか?