我正在努力为我的雇主寻找电子商务解决方案,我们有必要使用托管付款页面来最大限度地减少我们的PCI合规性问题。在研究了几家公司的解决方案后,似乎他们都希望您通过隐藏字段或GET变量向交易总价提交交易总价以生成付款表单。对于商家而言,这似乎是一个相当大的问题,因为使用Firebug(或眼睛,在GET变量的情况下)的用户可以轻松修改交易总额,获得新的托管支付表格,并继续结账,从而给自己提供任何帮助他们想要的折扣。
有没有人在此之前设置托管付款页面并处理此问题?有什么建议可以更好地做事吗?
答案 0 :(得分:2)
通常会使用用户不知道的秘密值(例如密码,交易密钥等)生成的那些表单提交哈希。因此,如果他们篡改了用于计算哈希值的金额,那么支付网关将拒绝该交易。用户无法通过更改哈希来绕过此值,因为它们没有计算所需的所有信息。
因此,使用这些托管表单不会被滥用。如果它们不是,它们将不是可行的产品,并且网关无法提供它们。