今天阅读了一下cft的商户支付接入文档,发现对安全支付这块,包括防止钓鱼等其实是有一些低成本的方案的:

1, 提交请求使用https协议,而不是http协议,可以防止信息在传输通道的安全。


2, 重要信息走后台通知,而不是单独的前端页面跳转。


3, 提交请求考虑更多的使用POST提交,少用GET,原因大家可以自己考虑。


4,提交参数进行数字签名,防止信息被串改;


5,把用户客户端的Ip也作为参数进行提交,同时,该IP作为数字签名的一部分,服务器验证请求的来源IP是否跟参数的一致,为什么?

       想象一个场景:用户A把用户B的请求串拷贝都自己本机上去执行,当然假设A和B的IP 出口不一样。


6,双向确认机制保证安全性,如支付后台通知给到商户一个notify_id,商户通过该notify_id从CFT接口进行反查支付订单。

       注意:这里的notify_id是有有效期的,时间为2 min。


7,前端跳转refer机制验证,当然有些浏览器支持不好导致问题,而refer必须跟接入商户的域名配置一致。

      这里有个小技巧:在内网测试的时候,对refer验证不通过的情况,因为refer可能是localhost,这里CFT给到一个方案是允许金额在100分以下进行支付,方便调试。

      这就是安全性和可用性,方便性的trade - off 问题了。


8,总之,安全问题的策略是从低成本的方案提高恶意用户的“作案”门槛,同时,需要设置多个多层门槛,实行层层保护,像“洋葱”一样,一层剥掉里面还有一层。

关于安全支付的几个tips相关推荐

  1. python paypal支付接口开发

    (第一次接触支付,理解可能也不是很深,欢迎批评指正) paypal是目前全球最大的在线支付工具,就像国内的支付宝一样,是一个基于买卖双方的第三方平台. PayPal API是基于HTTP的restfu ...

  2. Python探索性数据分析——异常数据的检测与处理、数据的描述(集中、分散、分布、相关关系、波动)、数据的推断(正态性检验、卡方检验、t检验)

    目录 一.异常数据的检测与处理 1.异常数据检测与处理-基于箱线图 2.异常数据检测与处理-基于正态分布特征 二.数据的描述 1.数据的集中趋势 1.1.数据的集中趋势-平均值 1.1.1.算数平均值 ...

  3. Spring MVC+Spring+MyBatis实现支付宝扫码支付功能(图文详解)

    点击上方"方志朋",选择"设为星标" 回复"666"获取新整理的面试资料 作者 | 思海(公众号:好好学java) 链接 | blog.cs ...

  4. 每日英语:Relationship Repair: 10 Tips for Thinking Like a Therapist

    Maybe you're in a relationship trough – arguments and hassle or disconnection and silent parallel li ...

  5. 40个良好用户界面Tips

     40个良好用户界面Tips 一个良好的用户界面应具有高转换率,并且易于使用.但要用户体验良好并不容易做到,下面我们整理了40个良好用户界面Tips,希望能对你有帮助! 1 尽量使用单列而不是多列 ...

  6. appcan 微信支付

    客户端 <!DOCTYPE html> <html class="um landscape min-width-240px min-width-320px min-widt ...

  7. 40个良好用户界面设计Tips

    一个良好的用户界面应具有高转换率,并且易于使用.但要用户体验良好并不容易做到,下面我们整理了40个良好用户界面Tips,希望能对你有帮助! 1 尽量使用单列而不是多列布局 单列布局能够让对全局有更好的 ...

  8. luffy-16/订单表设计,立即付款接口/前端,支付成功get回调用户展示,支付成功post回调修改订单状态

    这里写目录标题 一.昨日回顾 二.今日内容 1.订单表设计 2.立即付款接口(一堆校验,登录后) 2.1视图类 2.2序列化类 2.3自定义异常类 2.4配置文件 2.5路由 3.立即付款前端 4.支 ...

  9. SpringBoot电商项目之购物车下单(沙箱支付)

    目录 一.购物车结算前端功能实现 二.购物车结算后端功能实现 1.从session中获取购物车对象 2.筛选出要结算的订单项列表集合 3.订单页前台展示 三.结算页的下单前端 生成订单 1.前端相关处 ...

最新文章

  1. 我学Delphi心得与笔记-------在控件上如何禁用Ctrl+V
  2. leetcode 35 Search Insert Position(二分法)
  3. BugKuCTF WEB flag在index里
  4. 第三方控件radupload 使用方式以及报错处理
  5. 《乐在C语言》一2.2 数据类型
  6. Webdynpro ALV component usage
  7. C和指针之字符串编程练习9(在参数1中查找匹配参数2额任意字符)
  8. python雷达图详解_Python简单雷达图绘制
  9. C++:new[]和delete[]一定要配对使用吗?
  10. vant自动按需引入组件 (推荐)
  11. 发送邮件 (Send Email)
  12. 【题解】最近公共祖先
  13. Android 学习笔记--android基本
  14. java加入md5_javamd5加密解密
  15. 数学建模论文格式要求汇总
  16. Win_Server_2003-2016_加密勒索事件必打补丁合集
  17. 金陵科技学院c语言实验报告册,C语言实验报告册a
  18. AR技术应用 の 如何做一个Pokemon GO丢出精灵球抓住皮卡丘吧!(2)
  19. python实验楼工资计算器_挑战:完善工资计算器
  20. 7-9 龟兔赛跑 (20分)

热门文章

  1. 自考计算机机考成绩复查,自考成绩怎么复核 复核成功率高吗
  2. 百度沙翔宇:百度云原生混部大规模落地实践之路
  3. 【附源码】计算机毕业设计SSM面向大学生的党建管理系统
  4. Java基于POI对PPT的基本操作
  5. node.js中间件multer
  6. 2021年郑州师范学院成人函授本科招生专业(新资讯)
  7. MySQL 启动失败的常见原因---发表到爱可生开源社区
  8. monit监控mysql_Monit 监控服务工具教程
  9. MM ABAP采购资讯记录批量删除
  10. 精品向丨软件测试企业级Web自动化测试项目实战(附完整项目)