→ kerash:金流送過去的參數沒有供開發者傳的memo值嗎? 05/30 14:34
→ arnold0613:有的 只是想想知道是否可以由誰導入過來的做為判斷方法 05/30 14:36
→ alog:換一家好嗎 05/30 16:05
→ alog:二來 HTTP REFERER 是僅供參考的東西,不該拿來做驗證 05/30 16:06
→ alog:你如果要做高度的防護,建議做在確定入帳的部分 05/30 16:06
→ alog:然後用白名單的方式限定只有某個ip才能存取相關程式 05/30 16:07
→ kerash:樓上請問如果該金流不是透過 server 呼叫而是透過 redirect 05/30 18:44
→ kerash:將資料在金流成功後才 post 回到網站時,這部分要怎麼鎖定 05/30 18:44
→ kerash:會比較安全? 05/30 18:44
→ alog:你說的是用form傳參數嗎,這家金流我有印象 05/31 00:52
→ alog:這部分你完全沒辦法防,因為只要循著一定的參數就可以偷開單 05/31 00:53
→ alog:繳費成功的資料回傳,我印象他們有程式會POST到你的網站 05/31 00:54
→ alog:我不太清楚你說的金流成功是什麼意思 05/31 00:54
→ alog:如果是取得繳費資訊的部分,你可以對訂單的效驗做調整 05/31 00:56
→ alog:如果是確定入帳的部分,你可以觀察他們用的IP或Useragent 05/31 00:56
→ alog:不過個人不建議用 User-Agent 或 Referer 來作為參考 05/31 00:56
→ alog:這兩個 Http Header 是 Http Client 給伺服器的 05/31 00:57
→ alog:也意味著他是可以被偽造的 05/31 00:57
→ alog:最佳解還是針對IP,因為他們用的專線很固定 05/31 00:58
→ alog:如果你對這方面還是有疑慮,個人建議換一家金流業者 05/31 01:02