我正在實施PayPal IPN頁面,並希望檢查以確保請求確實來自PayPal而不是被欺騙。 我會假設HTTP_REFERRER不會是檢查的好方法嗎? 我試過這種方法,變量只是空了。PHP POST推薦人
有沒有辦法檢查帖子來自哪裏?也許在HTTP請求頭中?
和一個相關的附註。從安全角度來看,這種方法有多可靠?
我正在實施PayPal IPN頁面,並希望檢查以確保請求確實來自PayPal而不是被欺騙。 我會假設HTTP_REFERRER不會是檢查的好方法嗎? 我試過這種方法,變量只是空了。PHP POST推薦人
有沒有辦法檢查帖子來自哪裏?也許在HTTP請求頭中?
和一個相關的附註。從安全角度來看,這種方法有多可靠?
這將是完全不可靠的,因爲有人可以很容易地欺騙Referer字段,因爲他們可以欺騙請求。
您需要做的是使用PayPal記錄的IPN驗證協議,該協議涉及使用cmd = _notify-validate將IPN通知發回給PayPal。有關詳細信息,請參見PayPal IPN documentation。
該變量有拼寫錯誤,實際拼寫爲$_SERVER['HTTP_REFERER']
。所以,確保你正確地檢查它。
從安全角度來看,這是完全可以僞造的,所以不要只依賴它。
PayPal將verify_sign
附加到所有IPN帖子。