所以我从银联获得了这个与中国的电子商务项目的dll,并被要求审查.把它扔进ILSpy后,我忍不住注意到以下方法:
private static bool RemoteCertificateCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
return true;
}
现在,据我所知,这种回调的目的是允许无效或无效的SSL证书 - 我自己也为单元测试添加了类似的支持.
(这种事情让我对CHR政府的干预非常怀疑,允许对交易进行有意的中间人监控.)
支付处理器是否有合理的理由支持空/无效证书?