托管支付网关和隐藏字段篡改

Question

我正在努力为我的雇主寻找电子商务解决方案，我们有必要使用托管支付页面，以最大限度地减少PCI合规性问题。在研究了几家公司的解决方案后，他们似乎都希望您通过隐藏字段或获取变量将交易的总价格提交给他们，以便生成付款表单。对于商家来说，这似乎是一个相当大的问题，因为拥有Firebug (在GET变量的情况下是eyes )的用户可以很容易地修改交易总额，获得新的托管支付表单，并继续结账，从而为自己提供他们想要的任何折扣。

之前有没有人建立过托管支付页面并处理过这个问题？有没有更好的方法做事情的建议？

Answer 1

通常会有一个散列，这些表单是用用户不知道的秘密值(例如密码、交易密钥等)生成的。因此，如果他们篡改了金额，该金额也用于计算散列值，那么支付网关将拒绝交易。用户不能通过更改散列来绕过这一点，因为他们没有计算散列所需的所有信息。

所以使用这些托管的表单是安全的，不会被滥用。如果它们不是，它们就不是可行的产品，网关也不能提供它们供使用。