首先得给你划个核心前提：你当前是跳转到Stripe官方托管的Checkout页面，这意味着你完全没有权限在这个页面上添加任何自定义代码或限制——浏览器的同源策略会死死拦住你的网站脚本访问/修改Stripe域名下的内容，这是你首先要明确的。

接下来逐个解答你的问题：

1. 如何防止截图和录屏？ #

结合你的实际场景，分两种情况说明：

• 如果你继续使用Stripe托管的Checkout（就是你现在的做法）：你做不到任何自定义的截图/录屏限制。Stripe的Checkout页面由他们完全管控，没有提供商家自定义这类限制的配置项。不过不用过度担心，Stripe的Checkout页面已经通过了PCI DSS Level 1认证（支付行业最高安全标准），他们已经做了所有必要的安全防护，比如加密传输、防恶意注入等，支付数据的安全是有保障的。
• 如果你改用Stripe Elements（自定义支付表单，部署在你自己的域名下）：可以尝试一些前端层面的限制，但效果非常有限，只能挡住普通小白用户，比如：
  • 用CSS user-select: none 阻止文本选中，但这完全不影响截图；
  • 监听键盘事件拦截PrtSc键，但不同系统/浏览器的键码不一致，用户还能通过系统自带工具（比如Windows的Snipping Tool、Mac的Cmd+Shift+4）轻松绕过；
  • 调用requestFullscreen API进入全屏模式，部分移动端系统（比如iOS）会在全屏+私有浏览模式下限制录屏，但桌面端和Android基本无效；
  • 借助第三方JS插件，但本质都是前端手段，用户只要禁用JavaScript就能直接绕过。

2. 这种限制在网页浏览器中可行，还是只能在移动APP中实现？ #

直白点说：网页浏览器中只能做非常有限、可轻易绕过的限制，只有移动APP能实现相对有效的管控。

• 浏览器是开放的运行环境，用户对自己的设备拥有完全控制权，系统级的截图/录屏工具（比如硬件快捷键、系统自带工具）是浏览器根本无法干预的。哪怕你加了前端限制，用户也可以通过虚拟机、硬件录屏设备轻松绕过。
• 移动APP则可以调用系统级API：比如iOS的UIScreen.isCaptured能检测屏幕是否被录制/共享，Android的MediaProjectionManager也有类似能力，APP可以在检测到这类行为时隐藏敏感内容。但这也不是100%绝对的，比如用户可以用另一台设备拍摄屏幕。

3. 实现这个需求最安全的方式是什么？ #

最安全的方式是放弃在网页端尝试这类限制，原因有三：

1. 对你当前的Stripe托管Checkout场景来说，你根本没有技术手段去实现这类限制；
2. 即使是自定义支付页面，所有前端限制都是“防君子不防小人”，没有真正的安全性，反而会增加开发成本、影响用户体验（比如用户需要截图保存支付凭证，或有无障碍需求的用户会被干扰）；
3. 支付安全的核心从来不是阻止截图，而是确保支付数据的传输、存储过程安全。Stripe已经帮你搞定了这一切——他们的Checkout页面完全符合PCI合规，支付数据不会经过你的服务器，直接加密传输到Stripe，这才是真正的安全保障。

如果你的核心需求是保护支付数据不被泄露，相信Stripe的安全体系就足够了，不需要画蛇添足去做这些效果有限的限制。

备注：内容来源于stack exchange，提问作者Google User