关于安全支付的几个tips
今天阅读了一下cft的商户支付接入文档,发现对安全支付这块,包括防止钓鱼等其实是有一些低成本的方案的:
1, 提交请求使用https协议,而不是http协议,可以防止信息在传输通道的安全。
2, 重要信息走后台通知,而不是单独的前端页面跳转。
3, 提交请求考虑更多的使用POST提交,少用GET,原因大家可以自己考虑。
4,提交参数进行数字签名,防止信息被串改;
5,把用户客户端的Ip也作为参数进行提交,同时,该IP作为数字签名的一部分,服务器验证请求的来源IP是否跟参数的一致,为什么?
想象一个场景:用户A把用户B的请求串拷贝都自己本机上去执行,当然假设A和B的IP 出口不一样。
6,双向确认机制保证安全性,如支付后台通知给到商户一个notify_id,商户通过该notify_id从CFT接口进行反查支付订单。
注意:这里的notify_id是有有效期的,时间为2 min。
7,前端跳转refer机制验证,当然有些浏览器支持不好导致问题,而refer必须跟接入商户的域名配置一致。
这里有个小技巧:在内网测试的时候,对refer验证不通过的情况,因为refer可能是localhost,这里CFT给到一个方案是允许金额在100分以下进行支付,方便调试。
这就是安全性和可用性,方便性的trade - off 问题了。
8,总之,安全问题的策略是从低成本的方案提高恶意用户的“作案”门槛,同时,需要设置多个多层门槛,实行层层保护,像“洋葱”一样,一层剥掉里面还有一层。
关于安全支付的几个tips相关推荐
- python paypal支付接口开发
(第一次接触支付,理解可能也不是很深,欢迎批评指正) paypal是目前全球最大的在线支付工具,就像国内的支付宝一样,是一个基于买卖双方的第三方平台. PayPal API是基于HTTP的restfu ...
- Python探索性数据分析——异常数据的检测与处理、数据的描述(集中、分散、分布、相关关系、波动)、数据的推断(正态性检验、卡方检验、t检验)
目录 一.异常数据的检测与处理 1.异常数据检测与处理-基于箱线图 2.异常数据检测与处理-基于正态分布特征 二.数据的描述 1.数据的集中趋势 1.1.数据的集中趋势-平均值 1.1.1.算数平均值 ...
- Spring MVC+Spring+MyBatis实现支付宝扫码支付功能(图文详解)
点击上方"方志朋",选择"设为星标" 回复"666"获取新整理的面试资料 作者 | 思海(公众号:好好学java) 链接 | blog.cs ...
- 每日英语:Relationship Repair: 10 Tips for Thinking Like a Therapist
Maybe you're in a relationship trough – arguments and hassle or disconnection and silent parallel li ...
- 40个良好用户界面Tips
40个良好用户界面Tips 一个良好的用户界面应具有高转换率,并且易于使用.但要用户体验良好并不容易做到,下面我们整理了40个良好用户界面Tips,希望能对你有帮助! 1 尽量使用单列而不是多列 ...
- appcan 微信支付
客户端 <!DOCTYPE html> <html class="um landscape min-width-240px min-width-320px min-widt ...
- 40个良好用户界面设计Tips
一个良好的用户界面应具有高转换率,并且易于使用.但要用户体验良好并不容易做到,下面我们整理了40个良好用户界面Tips,希望能对你有帮助! 1 尽量使用单列而不是多列布局 单列布局能够让对全局有更好的 ...
- luffy-16/订单表设计,立即付款接口/前端,支付成功get回调用户展示,支付成功post回调修改订单状态
这里写目录标题 一.昨日回顾 二.今日内容 1.订单表设计 2.立即付款接口(一堆校验,登录后) 2.1视图类 2.2序列化类 2.3自定义异常类 2.4配置文件 2.5路由 3.立即付款前端 4.支 ...
- SpringBoot电商项目之购物车下单(沙箱支付)
目录 一.购物车结算前端功能实现 二.购物车结算后端功能实现 1.从session中获取购物车对象 2.筛选出要结算的订单项列表集合 3.订单页前台展示 三.结算页的下单前端 生成订单 1.前端相关处 ...
最新文章
- 我学Delphi心得与笔记-------在控件上如何禁用Ctrl+V
- leetcode 35 Search Insert Position(二分法)
- BugKuCTF WEB flag在index里
- 第三方控件radupload 使用方式以及报错处理
- 《乐在C语言》一2.2 数据类型
- Webdynpro ALV component usage
- C和指针之字符串编程练习9(在参数1中查找匹配参数2额任意字符)
- python雷达图详解_Python简单雷达图绘制
- C++:new[]和delete[]一定要配对使用吗?
- vant自动按需引入组件 (推荐)
- 发送邮件 (Send Email)
- 【题解】最近公共祖先
- Android 学习笔记--android基本
- java加入md5_javamd5加密解密
- 数学建模论文格式要求汇总
- Win_Server_2003-2016_加密勒索事件必打补丁合集
- 金陵科技学院c语言实验报告册,C语言实验报告册a
- AR技术应用 の 如何做一个Pokemon GO丢出精灵球抓住皮卡丘吧!(2)
- python实验楼工资计算器_挑战:完善工资计算器
- 7-9 龟兔赛跑 (20分)