我目前正在从事一个需要集成支付网关的项目,无论我使用的是哪个支付网关提供商,这个问题都是一个常规的安全性问题,
据我所知,大多数付款网关都要求传递唯一的参考号,并将返回的URL参数传递给付款请求URL,然后付款网关将响应返回给与参考号和其他参数一起传递的返回URL, 我的问题是,如果我的用户手动调用带有参数的返回URL来伪造该系统(如来自IPG的真实响应),
通常我必须检查来自响应的唯一引用号是否与我发送的会话中存储的引用相匹配,
但是我的问题是,如果我的用户也没有通过唯一引用怎么办?因为它作为隐藏字段传递,并且在调用IPG请求URL之前仍在浏览器源中可见?