我正在实施PayPal IPN页面,并希望检查以确保请求真正来自PayPal而不是欺骗。 我会假设HTTP_REFERRER不是一个好的检查方式? 我尝试过这种方法,变量就是空的。
有没有办法检查帖子的来源?也许在HTTP请求标题中?
以及相关的附注。从安全的角度来看,这种方法有多可靠?
答案 0 :(得分:2)
这将是完全不可靠的,因为有人可以像欺骗请求一样轻易地欺骗Referer字段。
您需要做的是使用PayPal记录的IPN验证协议,该协议涉及使用cmd = _notify-validate将IPN通知发回PayPal。有关详细信息,请参阅PayPal IPN documentation。
答案 1 :(得分:1)
此变量有拼写错误,实际上拼写为$_SERVER['HTTP_REFERER']
。所以,确保你正确检查它。
从安全的角度来看,这完全是假的,所以不要只依赖它。
答案 2 :(得分:1)
PayPal将verify_sign
附加到所有IPN帖子。