我有一个贝宝的 ipn 文件,只要进行交易,贝宝就会向我发送通知,一旦进行交易并且贝宝向我发送通知到我的 php 文件,我就开始处理该交易。
用户付款-> Paypal 将带有 POST 交易值的通知发送到我的 php 文件-> 正在处理交易
我的问题是,这个 POST 值可以从其他地方发送真正的 Paypal 吗?就像有人会将虚假的帖子值发送到我的 ipn php 文件中,我的脚本会认为是贝宝并开始处理虚假交易。
问问题
727 次
2 回答
2
如果您验证您的 IPN 呼叫,那么不,它们不能被伪造。 https://developer.paypal.com/webapps/developer/docs/classic/ipn/ht_ipn/
于 2013-10-13T13:32:48.997 回答
1
理论上,Paypal IPN 消息可能是伪造的,但通知过程包括一个验证步骤,允许您验证 IPN 消息。
这是取自Paypal 开发者页面的过程:
IPN消息认证协议包括四个步骤:
- PayPal HTTP 向您的听众发布一条 IPN 消息,通知您发生了事件。
- 您的侦听器向 PayPal 返回一个空的 HTTP 200 响应。
- 您的侦听器 HTTP 将完整的、未更改的消息发送回 PayPal;消息必须包含与原始消息相同的字段(以相同的顺序),并以与原始消息相同的方式进行编码。
- PayPal 会返回一个单词 - 已验证(如果消息与原始消息匹配)或无效(如果消息与原始消息不匹配)。
于 2013-10-13T13:33:56.153 回答