Размещенные платежные шлюзы и подделка скрытых полей

Question

Я пытаюсь найти решение для электронной коммерции для моего работодателя, и нам необходимо перейти на страницу оплаты, чтобы минимизировать наши проблемы с соответствием PCI. После изучения решений нескольких компаний кажется, что все они ожидают, что вы отправите им общую цену транзакции через скрытое поле или переменные GET для создания формы оплаты. Это кажется серьезной проблемой для продавца, поскольку пользователь с Firebug (или глазами, в случае переменных GET) может легко изменить сумму транзакции, получить новую размещенную форму оплаты и продолжить оформление заказа, таким образом предоставляя себе все, что угодно. скидка, которую они желают.

Кто-нибудь ранее настраивал страницу оплаты на хостинге и имел дело с этой проблемой? Какие-нибудь предложения для лучшего способа сделать вещи?

Answer 1

Обычно передается хеш с теми формами, которые генерируются с секретными значениями, которые пользователь не будет знать (например, пароль, ключ транзакции и т. Д.).Таким образом, если они изменяют сумму, которая также используется для вычисления значения хеша, то платежный шлюз отклонит транзакцию.Пользователь не может обойти это путем изменения хэша, потому что у него нет всей информации, необходимой для его вычисления.

Таким образом, использование этих размещенных форм защищено от злоупотреблений.Если бы они не были, они не были бы жизнеспособными продуктами, и шлюзы не могли бы предложить их для использования.