※ 引述《mattttt (我就是我)》之銘言:
: 因為小弟本人我要做金流
: 但是我拿到金流業者的demo就有疑惑
: 這可能不是PHP的地方
: 但是我不知道要去哪裡問
: 也就是action=""
: 裡面有可能是網址嗎?
: 因為在我寫過不少網頁
: 傳送的時候只能在本機傳送
: 不可能跨網頁傳送
: 但是他的demo裡卻是寫網址
: 裡面的ACTION="https://testtrustlink.hitrust.com.tw/TrustLink/TrxReq"
: 這是有可能嗎??
: 如果有可能這樣很多網頁都被破解了吧!!
: 這到底是什麼技術阿??
當然可以送出
你說的沒錯,很多網頁都可以這樣搞他,
早年簡易的暴力破解,用JAVASCRIPT 就可以寫了
所以對於安全性高的網站,會考慮驗證送來的資料來源(HOST)
只是現在也不用這麼麻煩了,像Chrome,Firefox,IE 8
都有提供即時的DOM操作,改一改再傳回去,就HAPPY了
回歸正題,不過你這邊如果是HTTP=>送到HTTPS這端,還是明文,這是相當危險的事情
我是不曉得hitrust提供幾種方案,
以HTML FORM傳送的刷卡機制,可以說幾乎沒有安全性
要加上人工確認,否則都被改好玩的
像中信的就有提供API跟URL ENCODE的方式傳送,這樣的安全性就比較高了
也不容易被偽照CALLBACK的訊息。
或許在參考一下他的手冊吧
結論,要驗證的資料,越來越多了...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.62.99.69
※ 編輯: arrack 來自: 61.62.99.69 (08/02 23:48)