inkerman |
|
---|---|
При использовании системы платежей, в случае успешного проведения оплаты пользователь отправляется на страницу с сообщением "Все ОК" Но на siena получаю ошибку: Один из параметров запроса недействиделен или устарел. Вернитесь назад и попробуйте отправить форму заново. На genoa подобного не замечал С чем это может быть связано? могу предположить что не хватает переменной &x=, но ее сервер сторонний не может знать Тип ссылки: http://site.ru/plug.php?e=billing&m=payment&mod=succes
|
Dayver |
|
---|---|
Сам по себе не может а вот если его передать вместе с формой которую отправляем на сервер оплаты(подобное должно предусматриватся платежной системой) с условием что бы он вернул его при возврате на свой сервер (стыкался с подобным при прикручивании какойто платежки - кажысь то была робокаса) Pavlo Tkachenko aka Dayver
|
Alex300 |
|
---|---|
Для запросов от платежной системы отключите проверку XSS, пример рассматривался тут: http://www.cotonti.com/forums/36432?m=posts Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
inkerman |
|
---|---|
Alex300, но если отключить, то это же будет весь сайт - открытая дыра для кулхацкеров, не? |
Alex300 |
|
---|---|
отключите только для запросов от платежной системы. Дополнительным хуком. Как в примере выше, там правда отключается для других запросов. Вы же все равно должны проверять запрос на безопасность, в том и числе и контрольную подпись, которой платежная система подписывает запрос. Так что ничего страшного. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
inkerman |
|
---|---|
Не совсем У Робокассы есть адрес по которому она передает результат обработки оплаты (там номер, сумма, контрольная подпись и т.д.) и есть еще два адреса на которые она перенаправляет пользователя (один - успех, а второй адрес - ошибка). Соответственно скриптовый адрес - ок А вот юзерские адреса (успеха и ошибки) как защитить то? При этом именно на них возникает ошибка XSS |
Dr2005alex |
|
---|---|
Сам сейчас работаю над данным скриптом робокассы. Советы действительно дельные. Отключить проверку XSS в хуке input. а проверить от кого пришло можно по входящим данным от робокассы. Даже когда усер оплатил и ему предлагается вернуться, то передаются и дополнительные параметры по которым можно сделать фильтр. Читай инструкцию http://www.robokassa.ru/ru/DocTest/Ru/Interface.aspx
WebKaa.ru - Cotonti Relax
|
Yusupov |
|
---|---|
Все правильно, чтобы получить данные от Робокассы нужно отключить защиту от междоменного постинга через хук input. Но делать это следует с умом, чтобы отключать только при необходимых условиях запроса. Например: if(($_GET['e'] == 'billing' || $_GET['r'] == 'billing') && $_SERVER['REQUEST_METHOD'] == 'POST') Условия ставите свои в зависимости от места куда приходят данные на ваш сайт. Используем подобную конструкцию в своем платежном модуле. |