我使用 PayPal 作为支付网关。我在查询字符串的 notify_url 参数中传递我网站的一个不可浏览页面的地址,以及其他信息。在我的通知页面上收到来自 PayPal 服务器的 ping 后,我会采取适当的措施将用户标记为成员(member)。
现在我想问的问题是:如果有人从原始查询字符串中读取了 notify_url 参数的值,并使用伪造的交易 ID、金额等从他的浏览器手动 ping 该页面怎么办?我该怎么办确保此调用实际上来自 PayPal 服务器?
我想到的一个初步检查是检查 Request.UserHostAddress 并将其与 PayPal server's IP address 进行比较.我实现了这个,但仍然想听听专家的意见。它足够安全吗?人们可以在调用网页时伪造 UserHostAddress 吗?
最佳答案
如果我知道这叫做欺骗,我早就用谷歌搜索了。从 PayPal 本身(这里是 link ),他们提供了一种简单(回发)和复杂(共享 key )的方式来确保通知实际上是由 PayPal 转发的。
关于asp.net - Paypal 通知 : What to look for,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20838917/