使用paypal html api是安全的吗？

Question

我尝试了paypals HTML API，您可以指定在html价格，ITEM_NAME，客户信息等：

<form action="https://www.paypal.com/cgi-bin/webscr" method="post" id="payPalForm"> 

     <input type="hidden" name="cmd" value="_cart" /> 
     <input type="hidden" name="upload" value="1" /> 

     <input type="hidden" name="no_note" value="1" /> 
     <input type="hidden" name="business" value="your@paypalaccount.com" /> 
     <input type="hidden" name="currency_code" value="SEK" /> 
     <input type="hidden" name="return" value="http://freelanceswitch.com/payment-complete/" /> 

     <input type="hidden" name="tax_rate" value="25" /> 

     <input type="hidden" name="item_name_1" value="Apple Macpro" /> 
     <input type="hidden" name="item_number_1" value="01 - Product 1" /> 
     <input type="hidden" name="amount_1" value="25000" /> 

     <input type="hidden" name="item_name_2" value="Apple Macbook" /> 
     <input type="hidden" name="item_number_2" value="02 - Product 2" /> 
     <input type="hidden" name="amount_2" value="12500" /> 

     <input type="hidden" name="item_name_3" value="Apple Macbook Air" /> 
     <input type="hidden" name="item_number_3" value="03 - Product 3" /> 
     <input type="hidden" name="amount_3" value="12500" /> 

     <input type="submit" name="Submit" value="Submit" /> 

    </form> 

当用户点击提交需要他/她paypals付款页面。

但这并不意味着黑客可以通过操纵html代码来改变顺序吗？

我无法弄清楚贝宝如何防止这种安全问题。

Answer 1

当然，它看起来好像有人可以改变HTML并重新提交表单。

我对PayPal没有把握，但Google Checkout通过设置HTML来代替它，它可以让您创建XML，使用商家密钥对其进行加密，并在您的HTML中使用加密的字符串传递给Google 。然后谷歌使用您的商家密钥对其进行解密，然后篡改 - 篡改。

有PayPal的文档沿着“车签署”或线的东西在看“要求加密”。他们也可能会回复您的服务器，告诉您发送的内容，并将其与您的数据库进行比较，以查看价格是否仍然正确。

Answer 2

如果是像其他HTML整合什么，应该有直接到你的服务器的回调贝宝与中输入的所有领域。你可以比较这些来看看是否有任何改变。通常有各种安全机制，如共享隐藏密钥，以便您可以验证回调是否真实。

Answer 3

它似乎并不像它本身是安全的。在Paypal的Securing Your Website Payments Standard Buttons页面上，他们谈到能够创建受保护的付款按钮。然而，他们进一步表明，如果Javascript被禁用，那么它就无法工作！然后他们谈论其他可以执行的手动流程，包括对帐和即时通知，这些流程无论如何都应该发生在任何声音会计流程中。

Encrypted website payments真的好像是唯一安全的选择我。