我今天收到一条定为“待处理”的订单。尝试通过Paypal验证付款时,我发现Paypal中没有记录这样的订单。我也没有收到来自Paypal的电子邮件通知。
然后我打开服务器访问日志,以调查有人如何在不完成付款过程(重定向)的情况下使用Paypal标准付款方式下订单。
我发现该播放器向/index.php?route=payment/pp_standard/callback发出了POST请求。
比较了日志文件中其他订单的结帐过程/流程,只要有POST到此路径,就来自特定的引荐来源网址(贝宝IPN)和IP。 这次,推荐人是结帐页面(结帐/结帐)
"message": "X.X.X.X - - [07/Feb/2019:15:26:57 +0200] \"POST /index.php?route=payment/pp_standard/callback HTTP/2.0\" 200 20 \"https://mydomain/index.php?route=checkout/checkout\" \"Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36\""
我希望我已经对请求BODY进行了转储以归档,所以我们可以看看发布的内容。 还有减轻未来假订单注入的方法吗? 我想我只能允许Paypal的IPN ip地址访问回调方法。 有什么想法吗?