无法模拟HTTP 302响应

时间:2012-11-23 13:04:03

标签: php codeigniter http payment-gateway

我正在尝试将PagSeguro(支付网关 - 巴西的PayPal版本)整合到我的网站中。客户完成PagSeguro后,他们将数据(通过POST)发送到我指定的功能。但是,我没有收到POST。在做了我能想到的所有故障排除后,我联系了PagSeguro。他们说他们的日志表明POST正常发送,但他们正在接收HTTP 302响应。

为了弄清楚为什么会发生这种情况,我创建了一个带有隐藏值的表单来模拟向我的函数发送POST。我把这个表单放在一个不同的域名中,以防它与它有关。每次我从模拟表单发送POST时,都会收到HTTP 200响应,而我的日志表明已收到POST。

PagSeguro如何收到与模拟不同的回复?它可能与服务器有关,还是与我的脚本有关?

以下是应该接收POST的函数(使用CodeIgniter):

function pagseguro_retorno(){
    if (count($_POST) == 0) {
        return FALSE;
    }
    $msg = 'POST RECEIVED';
    $simulate = $this->input->post('Simulate');
    if ( ! empty($simulate)){
        $result = 'VERIFICADO';
        $msg .= ' FROM SIMULATOR';
    } else {
        $this->load->library(PagSeguroNpi);
        $result = $this->PagSeguroNpi->notificationPost();
    }
    $this->log($msg);
    if ($result == "VERIFICADO") {
        $id = $this->input->post('Referencia');//cart id
        $this->load->model('transacao_model');
        $trans_row = $this->transacao_model->get_transaction($id);
        if ( ! is_object($trans_row)){
            //LOAD NEW TRANSACTION
            if ( ! $this->new_transaction($id)){
                $notice = "Unable to load new transaction</p><p>";
                $this->log($notice);
                $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
                $this->email_notice($notice);
            }
        }
        $this->load->model('carrinho_model');
        if($_POST['StatusTransacao'] == 'Aprovado'){
            $status = 'apr';
        }elseif($_POST['StatusTransacao'] == 'Em Análise'){
            $status = 'anl';
        }elseif($_POST['StatusTransacao'] == 'Aguardando Pagto'){
            $status = 'wtg';
        }elseif($_POST['StatusTransacao'] == 'Completo'){
            $status = 'cmp';
            //nothing more happens here - client must click on 'mark as shipped' before cart is removed and history data is loaded
        }elseif($_POST['StatusTransacao'] == 'Cancelado'){
            //reshelf - don't set $status, because the cart's about to be destroyed
            $this->carrinho_model->reshelf(array($id));
        }
        if (isset($status)){
            $this->carrinho_model->update_carrinho($id, array('status' => $status));
        }
    } else if ($result == "FALSO") {
        $notice = "PagSeguro return was invalid.";
        $this->log($notice);
        $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
        $this->email_notice($notice);
    } else {
        $notice = "Error in PagSeguro request";
        $this->log($notice);
        $notice .= '<pre>'.print_r($_POST, TRUE).'</pre>';
        $this->email_notice($notice);
    }
}

安全更新:

发帖后,我很快意识到我正在打开自己的黑客攻击尝试。该功能必须是公开的,因此任何知道该功能名称的人都可以访问它并发布“模拟”以立即进行验证。然后他们可以传递他们想要的任何数据。

我将函数的名称更改为无法猜测的内容,当不在生产模式时,我已禁用模拟选项。

1 个答案:

答案 0 :(得分:0)

问题在于,当没有使用POST发送正确的CSRF代码时,我的CSRF保护会导致重定向。我的模拟器正在运行,因为我复制了我在相关网站上制作的动态模拟器生成的HTML。然后,我粘贴HTML以创建静态模拟器并将其放在不同的URL下。随着HTML,我也无意中粘贴了CSRF代码。静态模拟器工作正常,直到代码过期。几次后我退出使用它,所以直到今天我才发现它已经不再使用了。

我知道这种确切的情况可能不会在未来500年再次发生,但是如果没有为接收POST的功能禁用支持网关等事情,CSRF安全性会导致问题。

相关问题
最新问题