d00*_*001 6 paypal express-checkout paypal-rest-sdk
在 Paypal 基本集成教程中,可以捕获基本上将付款提交给 Paypal 的订单客户端。一旦订单被捕获,教程将向您展示如何验证交易,这将确保您不提供服务或产品,除非贝宝订单得到验证。但是,有人可能会使用客户端 ID 恶意获取付款,而在验证失败时,paypal 会从客户那里提取资金。你怎么能防止这种情况?这安全吗?
[更新]
这些问题主要是出于好奇和缺乏使用 paypal 的经验。对此提供更多背景信息,并希望对其他人有所帮助;Paypal 基本集成只是一个 HTML 表单,因此它不会阻止任何人修改 HTML 表单并发送不同的金额以进行授权/捕获;假设订单的原始金额为 100,可能有人更改了该金额并提交了不同金额的授权;至少它会启动对可能更高的不同数量的授权/捕获。良好的做法要求在后端完成交易之前应验证金额和订单,但即使发现交易无效,资金也已被贝宝“冻结”,并可能在客户信用卡上.
这可能不是问题,因为如前所述,交易应该在后端验证;也不太明显(也许通过一些社会工程)某人将如何从中受益,而且很可能只是带来不便。
| 归档时间: |
|
| 查看次数: |
105 次 |
| 最近记录: |