Question

Я внедряю страницу PayPal IPN и хотел бы убедиться, что запросы действительно поступают от PayPal и не подделываются.Я предполагаю, что HTTP_REFERRER не будет хорошим способом проверки?Я попробовал этот подход, и переменная просто появляется пустой.

Есть ли способ проверить, откуда приходит сообщение?Может быть, в заголовке HTTP-запроса?

И сопутствующее примечание.С точки зрения безопасности, насколько надежным будет этот метод?

Anomie · Answer 1 · 28 февраля 2011

Это было бы совершенно ненадежно, так как кто-то мог подделать поле Referer так же легко, как и подделать запрос.

Что вам нужно сделать, это использовать документированный протокол проверки IPN PayPal, который включает отправку уведомления IPN обратно в PayPal с помощью cmd = _notify-validate. Подробнее см. документацию PayPal IPN .

Shad · Answer 2 · 28 февраля 2011

PayPal прикрепляет verify_sign ко всем сообщениям IPN.

Документы PayPal IPN

Carlos Campderrós · Answer 3 · 28 февраля 2011

Эта переменная имеет орфографическую ошибку, на самом деле она пишется $_SERVER['HTTP_REFERER'].Итак, убедитесь, что вы проверяете это правильно.

С точки зрения безопасности, это полностью подделка, поэтому не полагайтесь только на это.

PHP POST Referrer

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

PHP POST Referrer

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы