我一直在搜索有关PayPal标题信息的一些信息,但无法找到任何内容。
我试图找到一种安全的方法来验证发送到我的notify_url的帖子信息是否实际上来自PayPal本身。
我已检查$_SERVER变量,而不是与HTTP_PAYPAL类似的单个密钥,可以告诉我该请求来自PayPal。
唯一接近的是HTTP_USER_AGENT,但可以轻松修改:
'HTTP_USER_AGENT' => 'PayPal IPN ( https://www.paypal.com/ipn )'
如何指示PayPal返回一些自定义标头以验证请求?
答案 0 :(得分:3)
Paypal允许您针对其服务器查询完整的POST以验证交易。基本上你接受POST,将cmd=_notify-validate附加到它并联系Paypal。 Paypal将回复VERIFIED或UNVERIFIED