个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我们的网站应该处理即时付款通知 (IPN)。
出于安全原因,我们应该只允许从 Paypal 访问我们的网站。 (即我们应该阻止来自其他网络位置的 HTTP POST 请求。)
Paypal 发布其服务器的 IP 地址列表。但是Paypal推荐使用DNS结果,因为他们会经常更改服务器的IP地址,而且他们不会提前报告[1]。
PayPal changes its records often and does not provide advance notification of changes
为了实现上述需求,我们必须集成一个自动检测某个域名(如ipnpb.paypal.com)IP地址变化的系统,并更新我们服务器的防火墙设置。
(具体来说,我们的网站集成在AWS上,我们使用安全组设置而不是防火墙设置。)
但我们真的必须这样做吗?有谁知道这个问题的更复杂的解决方案?
[1] https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1056[2] https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1006&pmv=print&impressions=false&viewlocale=en_US
最佳答案
We should permit accesses only from Paypal to our site for security reason. (i.e. we should block HTTP POST requests from other network locations.)
我认为将 IPN 监听器向公众开放不会带来安全风险。我确信这是常见的设置。
如您所述,PayPal 本身并不及时提供其当前 IPN 服务的列表。这使得您的安全组中无法获得源 IP 范围的准确列表。
此外,IPN 验证请求的性质使其不太可能成为攻击媒介。您需要将请求回发到已知的 PayPal URL (ipn.paypal.com),他们会在其中验证 token 和数据。
如果他们不验证请求,则忽略该请求。这个因素意味着 PayPal 将首先拒绝任何并非来自他们的请求。
多年来,我们一直向公众开放所有 IPN 听众,没有发生任何事件或攻击。我们遵循所有可共鸣的安全政策,并运行符合 PCI 标准的支付平台,每月进行 PCI 漏洞扫描。
如果您的系统在所有其他方面都得到了很好的保护,那么让 IPN 监听器向公众开放的安全风险可以忽略不计。
关于amazon-web-services - 如何将即时付款通知 (IPN) 列入白名单?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37784832/
25
4
0
我正在使用 choronos,它建议使用 start/stop 命令开始停止,如下所示 开始计时 停止计时 但是,我正在编写 puppet manifest,它只适用于下面的服务命令。 服务计时开始
来历及作用 services.exe进程程序文件是由微软公司为其发布的Windows操作系统定义的一个系统进程,常见于Windows 2000/XP/Vista/2007等系统中,被描述为服务和控
我一直在尝试使用installutil:installutil /u GSIS.FileMoverService.exe安装Windows服务。 我得到的输出是: Uninstalling assem
如果一个域有多个团队和多个 Web 应用程序,那么注册 Service Worker 来管理整个站点的最佳建议是什么?具有范围的顶级服务 worker /或子域中的多个服务 worker ?由于一个域
我已经在 eclipse 中创建了企业项目。动态web项目和ejb项目对企业项目有借鉴意义。当我运行管理员(企业项目)运行时选择 wildfly 服务器 18。我收到以下错误。谁能告诉我我错过了什么。
我已经使用 apache-cxf-2.7.4 创建了一个 Web 服务。我进入了我的项目中制作的类(class)。我的项目中的库是: math3-commons-3.2.jar XStream-1.4
我在域中的 Virtual Box 中运行集群计算机,默认情况下服务在 Network 服务下运行,服务一直停止,事件日志中出现以下错误。 请从下面的错误日志中查找错误详细信息。任何帮助都会很棒。 L
在我的应用程序中,用户可以在 map 上发布事件。应用程序的入口点是一个无状态的 web api 服务。为了在内部代表用户,我想要一个用户服务。我应该何时使用 Reliable Stateful Ac
当我尝试运行在WIX中创建的安装程序时,出现以下错误消息: “服务'Report Generator Service'(报告生成器服务)无法启动。请验证您是否具有启动系统服务的足够特权”。 我已经在这
尝试使用 cloudformation 创建 ECS 服务(在 Fargate 上)但出现错误: Invalid service in ARN (Service: AmazonECS; Status
我正在编写一个简单的Windows服务,该服务每个月向所有员工发送一封电子邮件。我的问题是,完成后如何停止自我?我是该领域的新手,请帮帮我。非常感谢。 它将部署在服务器上以每月运行。我没有开始做这件事
有谁知道是否有办法在 service worker 中获取此号码或日期: 将我的服务 worker 缓存命名为 cache-1182 会很方便或 cache-20171127171448 我想在安装事
我想开始使用 Azure Service Fabric 技术。 我按照this document工作并安装最新的SDK。安装后,我打开 PowerShell(“以管理员身份运行”)命令行窗口并写入这些
我在使用 whenever gem 时遇到了一些问题。我创建了一个 rake 任务,当我自己启动它时它工作得很好但是当我在日志中收到以下消息时尝试自动执行它: ActiveRecord::Statem
我想在 service fabric 集群中为两个不同的 web 应用程序(webpi/website)共享 http/80 端口,应用程序必须有 2 个不同的主机名: mywebapi.com 和
我创建了一个使用 MongoDB 实现 hibernate OGM 的应用程序。它在 Eclipse 中运行得很好,但是,当我构建一个 fat jar 并尝试运行它时,出现以下错误: Exceptio
我有一个 Selenium Python 测试套件。它开始运行,但几分钟后抛出以下错误: Exception AttributeError: "'Service' object has no attr
我按照此链接的说明进行操作:https://www.thegeekdiary.com/centos-rhel-7-how-to-make-custom-script-to-run-automatica
我在 ubuntu 下的 jboss 上部署了简单的“HelloWorld”Web 服务。 我创建了简单的客户端,但我无法让它工作。每次运行客户端时,我都会收到 NullPointerExceptio
我正在尝试为我的网站使用后台定期同步。我正在使用 localhost 并在 1*1000 毫秒时注册 periodicsync 事件,但这根本不会触发。 我看过这个demo ,但即使我将该网站安装为应
我是一名优秀的程序员,十分优秀!