我在我的网站上使用支付网关。对于付款,用户重定向到银行页面并返回到 bank-callback.html。回来后,网站自动激活用户订购的服务。
我想将对页面 bank-callback.html 的访问限制为银行 IP(或者以更好的方式限制为银行域名)。
在这种情况下UrlRefferer,当用户从银行支付网关返回到 bank-callback.html 页面时为空。
此外,我们知道UrlRefferer检测方法并不安全。你知道有什么解决办法吗?
问问题
156 次
1 回答
0
UrlReferrer 可能为空,因为银行的网站使用 HTTPS。在这种情况下,不会传递引用标头。
您最简单的方法是检查Request.UserHostAddress并拒绝该请求,如果它不是来自银行的 IP 地址范围。
编辑:我误解了——我认为银行像 Paypal 或 SagePay 一样直接调用这个页面。您可能应该与您的银行交谈,他们将有一个机制来安全地执行此操作。
于 2013-10-18T20:29:29.230 回答