결제 모듈을 호출하면, Content Security Policy 정책 이슈로 toss.payments.com 을 불러오지 못합니다.
어제 유선 전화와 메일로 문의 드렸습니다. 결제 모듈을 호출하면, Content Security Policy 정책 이슈로 toss.payments.com 을 불러오지 못합니다.
41 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
콘솔에러 보여주시겠어요
이미지 남겨주세요
저희 web서버에는 xpay.uplus.co.kr
로
url 등록이 되어있고
스크린샷에 있는 url은 전혀 가이드 받은게 없습니다
소스반영도 없었구요
[가맹점 서버가 tls1.2 이상 지원하는 경우]
가맹점에서 변경해주셔야 할 작업은 크게 세가지 입니다.
1. crossplatform.js 파일의 주소를 https://js.tosspayments.com/xpay_crossplatform/sandbox/v1 로 변경합니다.
- JSP 예) payreq_crossplatform.jsp 파일에 https://pretest.tosspayments.com:9443/xpay/js/xpay_crossplatform.js 주소를 위 주소로 변경
2.lgdacom.conf 를 수정하여 Gateway.do 호출시 사용되는 test_url 도메인을 https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do 로 변경합니다.
- JSP 예) /lgdacom/conf/lgdacom.conf 파일의 test_url에 https://pretestclient.tosspayments.com:9443/xpay/Gateway.do를 위 주소로 변경(*DNS는 예시와 다를 수 있음)
위 내용 학인해주시겠어요?
위 내용 세팅이 전혀 없습니다
우선 payreq_crossplatform.jsp 파일은 있지만 해당 파일에 위 주소 경로를 쓰는 곳이 없구요, crossplatform.js 파일을 직접 관리하고 있는게 없습니다
http://xpay.upls.co.kr/xpay/js/xpay_crossplatform.js 를 호출해서, 해당 js가 결제 모듈을 띄우는 형태입니다
crossplatform.js 파일의 주소를 https://js.tosspayments.com/xpay_crossplatform/sandbox/v1 로 변경합니다.
JSP 예) payreq_crossplatform.jsp 파일에 https://pretest.tosspayments.com:9443/xpay/js/xpay_crossplatform.js 주소를 위 주소로 변경
위 형태로 바뀐게 언제인가요?
이실장님, 위 내용이 어제도 연락드린 부분인데 운영기에서 나고 민원이 들어오고 있어 긴급으로 대응 부탁드릴수 있을까요? 유선 전화통화도 가능하지만, 토스측 정책상 디스코드 대응만 가능하다고 전달받았습니다
서버 언어가 어떻게되신아ㅛ?
귀사 mid 말씀주시겠어요?
java 입니다
mid도 확인바랍니다.
fpword1
cst_mid 말씀이시지요?
ㅇㅏ닙니다 확인 후 안내드리겠습니다.
fpworld1
입니다
오타가 있었네요
혹시 이 Mid는 있을까요
넵 확인 후 말씀드릴게요₩!
넵
어제 support@tosspayments.com으로 환경파일과 로그 요청하셨다고 하는데
아직 공유를 못받았다고 합니다.
확인 가능할까요
더불어 어제 18시 이후 결제는 정상 나는 것 같은데 현재도 이슈 발생중일까요?
네 민원 응대 때문에, 시간이 부족하여 로그를 전달드려 확인하는 시간이 부족했습니다. 그리하여 변경점이 있다면 그거부터 우선 적용하고자 변경점과 조치방안을 여쭤보았습니다
왜 18시이후 결제가 정상이 나는 건지 모르겠네요
어제 낮2시부터 쭉 결제모듈이 안떴고, 저희 콜 센터에 접수된 건들도 증적으로 남아있어 조치가 어떻게 취해진 것인지 확인이 필요합니다
우선 저희쪽은 서버쪽 설정이나, 방화벽, 소스수정이 없었는데요
4~5년전 구축했던 그 모듈 그대로 잘 쓰고 있다가 갑자기 이런 이슈가 발생한 이유와 왜 갑자기 해결이 되었는지 모르겠습니다..
우선 이슈 원인에 대해 안내드리겠습니다.
---
원인: 서버 OS 필수 보안 패치 후 발생
귀사에 연동되어 있는 Xpay 모듈이 오래된 버전으로, 사용량이 많지 않아 지표상 모니터링되지 않았습니다.
감독원 가이드에 따라 필수 보안 패치를 적용한 후, 저희 서버가 귀사에서 사용 중인 Xpay 모듈의 오래된 암호화 방식을 수신하지 못했습니다.
현재 원인을 확인 후, 긴급 패치를 진행 중이며 곧 완료될 예정입니다. 10분 후 결제가 정상적으로 이루어지는지 확인해주시기 바랍니다.
추가로, 이번에 진행된 패치는 필수 보안 패치입니다. 이에 따라 Xpay 모듈에 수정이 필요할 수 있으며, 이 부분에 대해서는 정리되는 대로 메일로 안내드리겠습니다.
감사합니다.
확인 후 문의사항은 남겨주시기 바랍니다
더불어 귀사 메일 주소 안내해주실 수 있을까요
이게 웹서버에 변경된 url 이 설정 세팅 누락되어 발생한 이슈가 아닌건가요? 오래된 버전의 버전패치로 인해, 갑자기 몇년간 쓰던 모듈이 갑자기 오동작 할 수 있는 부분인지 모르겠습니다
teaesu_kim@hanwha.com 입니다
우선 저희가 알고있는 url 세팅 값이 아닌, 다른 url 값이 에러로 떠서 이 부분이 왜 호출 된건지 확인이 필요합니다.
우선 저 캡처 이미지는 현재 발생하고 있는 이슈인가요?
어제자 캡처본입니다
지금 다시 확인해보겠습니다
어제 저희쪽에서 확인한 이슈 (약 6시쯤 해결된 ) 는 오래전 모듈이 사용하던 보안 알고리즘이 저희 웹서버 보안업데이트로 인해 사용이 불가한 상태가 되어 통신이 안되던 이슈였습니다.
다만 이 이슈는 결제창은 뜨고 승인이 안나는 현상인데, 지금 롤리님이 보내주신 에러 메시지는 아예 결제창이 안뜨는 이슈이실거에요.
네 맞습니다
결제창 자체가 안떴습니다
지금은 잘 되는데요. 혹시 몰라 캐시를 지워새로 Js를 불러오니 잘 됩니다
혹시 js에 무언가 작업이 있으셨던걸까요
네
맞습니다
웹서버에서 cross script policy 를 사용하고 계신거죠?
넵
예상되는 상황은 저희서버쪽 보안업데이트 하면서 신규 JS 파일로 URL 을 redirect 하는 로직이 들어갔는데 그 도메인이 허용되지 않아서 발생한 에러로 보이고 저희가 6시경에 해당 서버 롤백하면서 기존 JS 에서 redirect 없이 처리되어 해결된 것으로 보입니다.
추후에 JS 파일 위치가 js.tosspayments.com 으로 변경될 예정인데 배포하실일이 있을때 *.tosspayments.com 에 대해 허용해 주시면 될것 같습니다.
그럼 처음 보안업데이트 반영하신 시간과, 롤백하신 시간을 좀 알 수 있을까요
그리고 이런 변경점이 생기면.. 공지가 되어야 하지 않을까요
저희는 갑자기 잘 사용하던 모듈이 안되면서 민원이 들어와 이슈보고를 해야하는 입장이라서요
js.tosspayments.com이 언제 반영될 예정이며, 저희가 언제까지 해당 url로 허용처리를 해야하는지도
알아야 다음번에 동일한 상황이 발생하지 않을 것 같습니다
네 이부분은 보내주셨던 메일에 정리해서 회신 드리겠습니다.
넵 명확하게 확인 해주셔서 감사합니다.
라이브쪽 JS 변경은 명확하게 공지를 드리지는 않았습니다.
Ayaan님 혹시 그럼 해당 메일을 taesu_kim@hanwha.com으로 전달부탁드려도 될까요
Ayaan 님은 저희 직원이 아니세요.
아하~
넵 알겠습니다
테스트환경 공지가 나간거랑 혼동했습니다. 죄송합니다 🙏
아닙니다. 확인 감사합니다. 좋은 하루 되세요😀
정리해서 메일로 드렸습니다. 추가로 문의사항이 있으시면 디스코드나 메일로 문의 주시기 바랍니다.
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.