php - 无法模拟 HTTP 302 响应-6ren

php - 无法模拟 HTTP 302 响应

转载作者：可可西里更新时间：2023-11-01 16:44:13

26

4

我正在尝试将 PagSeguro(一种支付网关 - 巴西版的 PayPal)整合到我的网站中。客户完成 PagSeguro 后，他们将数据(通过 POST)发送到我指定的函数。但是，我没有收到 POST。在完成我能想到的所有故障排除后，我联系了 PagSeguro。他们说他们的日志表明 POST 正常发送，但他们收到 HTTP 302 响应。

为了找出发生这种情况的原因，我创建了一个带有隐藏值的表单来模拟向我的函数发送 POST。我将此表单放在不同的域下，以防万一它与此有关。每次我从我的模拟表单发送 POST 时，我都会收到 HTTP 200 响应，并且我的日志表明已收到 POST。

PagSeguro 怎么可能收到与我的模拟不同的响应？它可能与服务器有关还是与我的脚本有关？

这是应该接收 POST 的函数(使用 CodeIgniter):

function pagseguro_retorno(){
    if (count($_POST) == 0) {
        return FALSE;
    }
    $msg = 'POST RECEIVED';
    $simulate = $this->input->post('Simulate');
    if ( ! empty($simulate)){
        $result = 'VERIFICADO';
        $msg .= ' FROM SIMULATOR';
    } else {
        $this->load->library(PagSeguroNpi);
        $result = $this->PagSeguroNpi->notificationPost();
    }
    $this->log($msg);
    if ($result == "VERIFICADO") {
        $id = $this->input->post('Referencia');//cart id
        $this->load->model('transacao_model');
        $trans_row = $this->transacao_model->get_transaction($id);
        if ( ! is_object($trans_row)){
            //LOAD NEW TRANSACTION
            if ( ! $this->new_transaction($id)){
                $notice = "Unable to load new transaction</p><p>";
                $this->log($notice);
                $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
                $this->email_notice($notice);
            }
        }
        $this->load->model('carrinho_model');
        if($_POST['StatusTransacao'] == 'Aprovado'){
            $status = 'apr';
        }elseif($_POST['StatusTransacao'] == 'Em Análise'){
            $status = 'anl';
        }elseif($_POST['StatusTransacao'] == 'Aguardando Pagto'){
            $status = 'wtg';
        }elseif($_POST['StatusTransacao'] == 'Completo'){
            $status = 'cmp';
            //nothing more happens here - client must click on 'mark as shipped' before cart is removed and history data is loaded
        }elseif($_POST['StatusTransacao'] == 'Cancelado'){
            //reshelf - don't set $status, because the cart's about to be destroyed
            $this->carrinho_model->reshelf(array($id));
        }
        if (isset($status)){
            $this->carrinho_model->update_carrinho($id, array('status' => $status));
        }
    } else if ($result == "FALSO") {
        $notice = "PagSeguro return was invalid.";
        $this->log($notice);
        $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
        $this->email_notice($notice);
    } else {
        $notice = "Error in PagSeguro request";
        $this->log($notice);
        $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
        $this->email_notice($notice);
    }
}

安全更新:

发帖后，我很快意识到我正在对黑客尝试敞开心扉。该函数必须是公开的，因此任何知道该函数名称的人都可以访问它并发布“模拟”以获得即时验证。然后他们可以传递他们想要的任何数据。

我将函数的名称更改为无法猜测的名称，并且在不处于生产模式时，我禁用了模拟选项。

最佳答案

问题是当正确的 CSRF 代码没有随 POST 一起发送时，我的 CSRF 保护会导致重定向。我的模拟器正在运行，因为我复制了我在相关网站上制作的动态模拟器生成的 HTML。然后我粘贴 HTML 以创建一个静态模拟器并将其放在不同的 URL 下。除了 HTML，我无意中还粘贴了 CSRF 代码。静态模拟器工作正常，直到代码过期。几次后我就不再使用它了，所以直到今天我才发现它不再起作用了。

我知道这种情况在未来 500 年内可能不会再次发生，但如果不禁用接收 POST 的功能，诸如 CSRF 安全之类的东西可能会导致支付网关等问题。

关于php - 无法模拟 HTTP 302 响应，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13529750/

26

4

0

文章推荐： hadoop - FsImage 离线查看器

文章推荐： python - 在 Python 中重启 HTTP 服务器的正确方法

文章推荐： http - HTTP "session"重建是如何工作的？

文章推荐： http - winsock2收不到http服务器的响应包

java - 无法 Autowiring
我通过 spring ioc 编写了一些 Rest 应用程序。但我无法解决这个问题。这是我的异常(exception): org.springframework.beans.factory.BeanC
java - 无法@Autowire配置
我对 TestNG、Spring 框架等完全陌生，我正在尝试使用注释 @Value通过 @Configuration 访问配置文件注释。我在这里想要实现的目标是让控制台从配置文件中写出“hi”，通过
无法 malloc 然后转到程序顶部
为此工作了几个小时。我完全被难住了。这是 CS113 的实验室。如果用户在程序(二进制计算器)结束时选择继续，我们需要使用 goto 语句来到达程序的顶部。但是，我们还需要释放所有分配的内存。
无法 avformat_open_input .mp3
我正在尝试使用 ffmpeg 库构建一个小的 C 程序。但是我什至无法使用 avformat_open_input() 打开音频文件设置检查错误代码的函数后，我得到以下输出: Error code:
java - 无法 Autowiring
使用 Spring Initializer 创建一个简单的 Spring boot。我只在可用选项下选择 DevTools。创建项目后，无需对其进行任何更改，即可正常运行程序。现在，当我尝试在项目
macos - 无法 brew 链接qt
所以我只是在 Mac OS X 中通过 brew 安装了 qt。但是它无法链接它。当我尝试运行 brew link qt 或 brew link --overwrite qt 我得到以下信息: ton
git - 无法 pull 或提交
我在提交和 pull 时遇到了问题:在提交的 IDE 中，我看到: warning not all local changes may be shown due to an error: unable
gcc - 无法 grep 特定格式的文本
我跑 man gcc | grep "-L" 我明白了 Usage: grep [OPTION]... PATTERN [FILE]... Try `grep --help' for more inf
curl - 无法 CURL 远程文件
我有一段代码，旨在接收任何 URL 并将其从网络上撕下来。到目前为止，它运行良好，直到有人给了它这个 URL: http://www.aspensurgical.com/static/images/a
WireGuard - 无法 ping 服务器或解析域
在过去的 5 个小时里，我一直在尝试在我的服务器上设置 WireGuard，但在完成所有设置后，我无法 ping IP 或解析域。下面是服务器配置 [Interface] Address = 10.
GitLab:无法 fork 我自己的项目
我正在尝试在 GitLab 中 fork 我的一个私有(private)项目，但是当我按下 fork 按钮时，我会收到以下信息: No available namespaces to fork the
javascript - 无法 GET/定义路由
我这里遇到了一些问题。我是 node.js 和 Rest API 的新手，但我正在尝试自学。我制作了 REST API，使用 MongoDB 与我的数据库进行通信，我使用 Postman 来测试我的路
javascript - 无法 AppendChild - 尝试使一个方法在不同的类中附加另一个方法
下面的代码在控制台中给出以下消息: Uncaught DOMException: Failed to execute 'appendChild' on 'Node': The new child el
javascript - 数组被视为对象，无法 NgFor
我正在尝试调用一个新端点来显示数据，我意识到在上一组有效的数据中，它在数据周围用一对额外的“[]”括号进行控制台，我认为这就是问题是，而新端点不会以我使用数据的方式产生它! 这是 NgFor 失败的原
git - 无法 checkout 到无效路径
我正在尝试将我的 Symfony2 应用程序部署到我的 Azure Web 应用程序，但遇到了一些麻烦。推送到远程时，我在终端中收到以下消息 remote: Updating branch 'mas
docker - Minikube具有IP-无法 curl
Minikube已启动并正在运行，没有任何错误，但是我无法 curl IP。我在这里遵循:https://docs.traefik.io/user-guide/kubernetes/，似乎没有提到关闭
linux - 无法 docker 组成任何项目
每当我尝试docker组成任何项目时，都会出现以下错误。我尝试过有和没有sudo 我在这台机器上只有这个问题。我可以在Mac和Amazon WorkSpace上运行相同的容器。 (myslabs)
python - 无法 pip 安装手电筒
我正在尝试 pip install stanza 并收到此消息: ERROR: No matching distribution found for torch>=1.3.0 (from stanza
kubernetes 无法 ping 通其他服务
DNS 解析看起来不错，但我无法 ping 我的服务。可能是什么原因？来自集群中的另一个 Pod: $ ping backend PING backend.default.svc.cluster.l
spring - 无法 Autowiring 字段
我正在使用Hibernate 4 + Spring MVC 4当我开始 Apache Tomcat Server 8我收到此错误: Error creating bean with name 'wel

首页

博学

6Ren·AI

商城

php - 无法模拟 HTTP 302 响应