Задать вопрос
@AntonIgin

Как защитить форму заказа от подделки?

Добавлять в саму форму цифровую подпись нет смысла - злоумышленник может добавить свою подпись, а потом на нужный адрес отправить запрос с подписью составленной им же. То есть надо как-то сохранять ключ во вьюхе, не отображая пользователю, и в то же время надо его как-то отправить в форме на Яндекс.Деньги. Изначально схема такая: форма заказ отправляет данные на Яндекс, но AJAX-скриптом попутно досылает и на мое представление, чтобы зарегистрировать заказ заранее. Для чего? ЧТобы потом, когда придет уведомление, сверять сумму, получателя и, собственно, цифровую подпись.
Что делать?
  • Вопрос задан
  • 212 просмотров
Подписаться 1 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 1
@airamkad
Почитайте внимательно API Яндекса. Запросы на оплату подписываются и уже уходят с верификацией и так.

От чего вы хотите защититься?
Что злоумышленник оплатит вам (а ведь он все равно оплатит), но в качестве адреса укажет свой?
Это проблема клиента - нефига столько вирусни заводить, что она свободно пасется в платежных системах от имени пользователя. Если у него есть такое уже - то денег в Яндексе уже нет.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы