我在我的网站上使用Paypal进行付款,当有人成功完成购买时,Paypal会调用我指定的notify_url并将一些POST数据传递给它。从POST我只使用item_number和txn_id。
我用于notify_url的网址是公共网址,任何人都可以访问该网址。如何确保只有Paypal可以请求此URL并且其他所有人都被阻止?
答案 0 :(得分:1)
仅允许POST,并实施IPN文档中描述的回调验证。
答案 1 :(得分:1)
正如@EJP所提到的,将验证结果发回PayPal将允许您验证数据来自PayPal,以便您知道它是合法的,但其他人仍然可以访问该网址。
如果要完全阻止它们,可以通过服务器上的.htaccess文件(假设您正在运行Apache)或使用防火墙来实现。除了PayPal的IPN IP地址外,您只需要阻止所有流量。
64.4.248.8
64.4.249.8
173.0.84.40
173.0.84.8
173.0.88.40
173.0.88.8
173.0.92.8
173.0.93.8