个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我在我的 ASP.NET 网站中使用 PayPal 的网站支付标准。
我所做的是当用户点击“立即付款”按钮时,我在代码隐藏中执行以下操作:
我担心用户可以在网络浏览器上按下停止键,然后编辑隐藏表单中的值,然后提交表单。有没有办法防止这种情况?或者更好的选择?
提前致谢!
最佳答案
我还没有完成 PP 标准。我已经使用过 Gateway 和 Pro/Express Checkout,但已经有一段时间了 - 尽管如此,您的问题仍可以以更“通用”的方式处理...
不幸的是,您的计划不会采取任何措施来保护您 - 就像网络上的任何其他 HTML 表单一样,可以使用现成的工具检查和篡改 HTTP 请求和响应。
防止篡改的常用方法是对来自任何 客户端/浏览器的提交值进行服务器端验证(经验法则是“不信任任何人”)。在您的场景中,您在服务器端做事,但这仍然先于数据的实际提交目标——即 PayPal。实际将数据发送到“目标”的步骤仍然是浏览器/客户端——可以说这就是问题所在。要验证的数据适用于您系统以外的系统(因此您无法验证 PayPal)。
除非有额外的安全层,例如签名或加密,总是容易被篡改(查看已成定局,可以查看)。
我不相信(但我可能是错的)PP Standard 有一个用于发布数据的服务器到服务器选项。这将有效地从客户端/浏览器中完全“隐藏”数据——没有什么可看的,没有什么可以篡改的。数据传输在后台进行 - 客户端/浏览器对此一无所知。
然而,他们的PayPal Payments Standard and Button Manager API似乎是这样做的正确/安全的方式。
本质上,您将即时创建他们所谓的“加密按钮”。这样,对于任何检查数据的人来说,数据看起来就像是乱码——只有 PayPal 才有意义,因为他们可以相应地解密数据。这就是保护/保护数据免受篡改的方式(不是查看 - 但同样,可以看到的是乱码)...
嗯...
更新:
此外,您应该考虑使用 PayPal IPN 来存储数据。您在上面做出假设(我认为)每个点击按钮的人实际上都会完成付款(或者可以成功付款)。使用 IPN,您将“收听”来自 PayPal 的数据仅在成功付款后(这是您应该存储订单相关数据和/或库存更新等的地方)....
关于c# - 如何防止使用 PayPal 的网站支付标准编辑隐藏字段?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10241038/
25
4
0
我最近在读 CSAPP。在 10.9 节中,它说标准 I/O 不应该与 socket 一起使用,原因如下: (1) The restrictions of standard I/O Restricti
似乎是一个足够标准的问题,可以保证解决方案中的标准设计: 假设我想在文件中写入 x+2(或更少)个字符串。 x 字符串构成一个部分的内容,这两个字符串构成该部分的页眉和页脚。要注意的是,如果内容中没有
代码版本管理 在项目中,代码的版本管理非常重要。每个需求版本的代码开发在版本控制里都应该经过以下几个步骤。 在master分支中拉取该需求版本的两个分支,一个feature分支,
我有以下sql查询,我需要获取相应的hibernate条件查询 SELECT COUNT(DISTINCT employee_id) FROM erp_hr_payment WHERE payment
所以我正在编写一些代码,并且最近遇到了实现一些 mixin 的需要。我的问题是,设计混音的正确方法是什么?我将使用下面的示例代码来说明我的确切查询。 class Projectile(Movable,
我的环境变量包含如下双引号: $echo $CONNECT_SASL_JAAS_CONFIG org.apache.kafka.common.security.plain.PlainLoginModu
示例: /** * This function will determine whether or not one string starts with another string. * @pa
有没有办法在 Grails 中做一个不区分大小写的 in 子句? 我有这个: "in"("name", filters.tags) 我希望它忽略大小写。我想我可以做一个 sqlRestriction
我搜索了很长时间,以查找将哪些boost库添加到std库中,但是我只找到了一个新库的完整列表(如此处:http://open-std.org/jtc1/sc22/wg21/docs/library_t
我已经通过使用这个肮脏的黑客解决了我的问题: ' Filter managerial functions ActiveSheet.Range("$A$1:$BW$2211").Auto
因此,我很难理解我需要遵循的标准,以便我的 Java 程序能够嵌入 HTML。我是否只需将我的主类扩展到 Applet 类,或者我还需要做更多的事情吗?另外,在我见过的每个 Applet 示例中,它都
我对在 Hibernate 中使用限制有疑问。 我必须创建条件,设置一些限制,然后选择日期字段最大值的记录: Criteria query = session.createCriteria(Stora
我有标准: ICriteria criteria = Session.CreateCriteria() .SetFetchMode("Entity1", FetchMo
我很难编写条件来选择所有子集合或孙集合为空的实体。我可以将这些作为单独的条件来执行,但我无法将其组合成一个条件。 类结构: public class Component { p
@Entity class A { @ManyToMany private List list; ... } @Entity class B { ... } 我想使用条件(不是 sql 查询)从 A
我的数据库中有以下表结构: Table A: Table B: Table C: _______________
请帮助我: 我有下一张 table : 单位 ID 姓名 用户 ID 姓名 利率 单位 ID 用户 ID 我不明白如何从 SQL 创建正确的条件结构: 代码: SELECT * FROM Unit W
我正在构建一个包含项目的网站,每个项目都有一个页面,例如: website.com/book/123 website.com/film/456 website.com/game/789 每个项目都可以
我需要使用两个属性的组合来过滤结果列表。一个简单的 SQL 语句如下所示: SELECT TOP 10 * FROM Person WHERE FirstName + ' ' + LastName L
我有一个“ super 实体”SuperEntity 和三个扩展父类(super class)的实体 ChildEntity1、...、ChildEntity3。 搜索数据库中的所有实体很容易,即我们
我是一名优秀的程序员,十分优秀!