2
我正在嘗試爲我的僱主尋找電子商務解決方案,並且我們需要與託管付款頁面一起去儘量減少我們的PCI合規困境。在研究了幾家公司的解決方案之後,似乎他們都希望您通過隱藏字段或GET變量向交易者提交交易的總價格,以便生成付款表單。這對於商家來說似乎是一個相當大的關注,因爲使用Firebug的用戶(或者在GET變量的情況下)可以容易地修改交易總額,獲得新的託管付款表單並繼續結賬,從而給予他們任何他們渴望的折扣。託管支付網關和隱藏域篡改
有沒有人設置過一個託管付款頁面並處理了這個問題?任何建議爲更好的方式做事情?
如果您指的是託管表單本身的安全性,我並不是在爭辯。我的問題是,爲了讓他們爲我的交易生成一張表格,我必須首先向他們傳遞交易的總價格,這就是篡改發生的地方:在託管表格生成之前。 – TJRS
將用戶發送到支付網關的託管窗體時會生成哈希。所以在**計算總數之後生成**,並在用戶發送到託管表單之前**。 –
在對Authorize.net的解決方案進行了一些研究之後(您似乎已經有所體驗),我發現他們確實支持您描述的內容。然而,許多其他支付處理商,如Moneris(我的僱主選擇使用的),似乎不支持任何形式的散列提交,因此我的困惑。真的看起來像他們都應該提供的基本功能... – TJRS