0

クライアントが商品の代金を支払うトランザクションWebサイトを運営しています。現在、私は支払い処理業者(pp)の会社のWebページを使用して支払いを処理しています。つまり、支払いが完了すると、クライアントはPPサーバーにリダイレクトされ、自分のサイトにリダイレクトされます。大きな欠点は、PPページをカスタマイズできないか、ほとんどカスタマイズできないことです。

今、私は自分のWebサイトで直接支払いを処理したいと思います。すべての支払いデータを支払い処理業者に送信するだけで、応答が返されます。PCIに準拠する必要があることはすでに知っています。私のWebサイトは、RESTeasyWebServicesとJavaサーバーを呼び出すAJAXを使用して作成されています。

今私の質問は、JavaScriptを使用してクライアント側のすべてのフィールドを検証する必要がありますか、それともサーバー上のすべてをスイングしてそこで仕事をする必要がありますか?クライアントでFORMを使用して直接、またはサーバーからHttpUrlConnectionを使用して、支払いプロセッサにPOSTする必要がありますか?これを行うための市場のベンチマークは何ですか?PHPの例をたくさん見つけましたが、残念ながらPHPを学ぶ時間がありません。

ありがとう

4

3 に答える 3

1

指摘したように、他の人があなたのクライアントコードを取得して変更できるため、クライアントでのみ検証することはできません。さらに、ユーザーに表示したくないアカウント情報を提供する必要があります。サーバーはリクエストを検証して処理する必要があります。

これはかなり複雑な作業です。ページがSSL(HTTPS)を介してアクセスされていることを確認する必要があり、クレジットカードプロセッサに安全にアクセスする必要があります。

サーバー側のコードからいくつかの基本的な検証を実行できます。http://www.blackbeltcoder.com/Articles/ecommerce/validating-credit-card-numbersを確認してください。

それを超えて、それは本当にあなたのプロセッサと彼らがあなたに利用可能にするAPI次第です。それらの仕様に準拠したコードを作成する必要があります。

于 2011-03-20T05:48:12.923 に答える
1

データを支払い処理業者に直接POSTするか、クレジットカード情報を収集するかは、支払い処理業者と、収集した情報の一部をクレジットカードページに保存するかどうかによって異なります(クレジットカード情報は保存しないでください。保存してください)。必要に応じて、最後の4桁のみ。)

フォームを支払い処理業者に直接投稿するのが最も簡単な方法です。また、クレジットカード情報がシステムを通過することはないため、PCIレベル4に準拠する必要さえないことも意味します。ここを参照してください:

http://www.pcicomplianceguide.org/pcifaqs.php#2

一方、請求先住所やクレジットカード番号の下4桁を保存する場合、またはこのデータを電子メールで送信する領収書に挿入する場合は、独自のサーバーを作成する必要があります。 -クレジットカードページから情報を収集し、HttpUrlConnectionを使用してデータを支払いプロセッサにPOSTするサイドコード。支払い処理業者がAPIを提供している場合は、それを使用することもできます。

いずれの場合も、支払いページがSSL経由でのみ表示されることを確認する必要があります。Java Webアプリケーションでは、web.xmlのtransport-guaranteeエントリを使用してこれを行うことができます。

  <security-constraint>
   <user-data-constraint>
     <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
   <web-resource-collection>
     <url-pattern>your_payment_page.jsp</url-pattern>
   </web-resource-collection>
  </security-constraint>

これにより、ユーザーがプレーンHTTPで支払いページにアクセスした場合でも、アプリケーションサーバーがHTTPSにリダイレクトされるようになります。

このページ(私が扱った支払い処理業者から)には、処理業者の観点から、いくつかの詳細情報があります。

http://wiki.usaepay.com/developer/transactionapi

于 2011-03-20T12:46:01.003 に答える
0

皆様のご回答ありがとうございました。最後に、それははるかに複雑であり、Webページのデザインのためだけに自分で支払いデータを収集するのは非常に大きな責任です。引き続き支払いページを変更し、支払いを完了するために支払い処理業者のWebページにリダイレクトされることをユーザーに通知します。私が今持っているものの一種のハイブリッド。これは彼らにとっても私にとっても安全です。

再度、感謝します。

于 2011-03-20T22:56:56.810 に答える