※ 引述《mattttt (我就是我)》之銘言： : 因為小弟本人我要做金流 : 但是我拿到金流業者的demo就有疑惑 : 這可能不是PHP的地方 : 但是我不知道要去哪裡問 : 也就是action="" : 裡面有可能是網址嗎? : 因為在我寫過不少網頁 : 傳送的時候只能在本機傳送 : 不可能跨網頁傳送 : 但是他的demo裡卻是寫網址 : 裡面的ACTION="https://testtrustlink.hitrust.com.tw/TrustLink/TrxReq" : 這是有可能嗎?? : 如果有可能這樣很多網頁都被破解了吧!! : 這到底是什麼技術阿?? 當然可以送出 你說的沒錯，很多網頁都可以這樣搞他， 早年簡易的暴力破解，用JAVASCRIPT 就可以寫了 所以對於安全性高的網站，會考慮驗證送來的資料來源(HOST) 只是現在也不用這麼麻煩了，像Chrome，Firefox，IE 8 都有提供即時的DOM操作，改一改再傳回去，就HAPPY了 回歸正題，不過你這邊如果是HTTP=>送到HTTPS這端，還是明文，這是相當危險的事情 我是不曉得hitrust提供幾種方案， 以HTML FORM傳送的刷卡機制，可以說幾乎沒有安全性 要加上人工確認，否則都被改好玩的 像中信的就有提供API跟URL ENCODE的方式傳送，這樣的安全性就比較高了 也不容易被偽照CALLBACK的訊息。 或許在參考一下他的手冊吧 結論，要驗證的資料，越來越多了... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.62.99.69 ※ 編輯: arrack 來自: 61.62.99.69 (08/02 23:48)